Katalog CVE

CVE-2025-52390

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Saurus CMS Community Edition od commita d886e5b0 (2010-04-23) jest podatny na atak typu SQL Injection w metodzie `prepareSearchQuery()` w pliku `FulltextSearch.class.php`. Aplikacja bezpośrednio łączy dane wejściowe dostarczone przez użytkownika (`$search_word`) z zapytaniami SQL bez ich sanitizacji, co umożliwia atakującym manipulację logiką SQL.

Ocena ryzyka

Podatność ta może prowadzić do wycieku wrażliwych informacji lub eskalacji uprawnień, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się wprowadzenie odpowiednich mechanizmów sanitizacji danych wejściowych oraz stosowanie przygotowanych zapytań SQL, aby zminimalizować ryzyko ataków typu SQL Injection.

Oryginalny opis (angielski, źródło NVD)

Saurus CMS Community Edition since commit d886e5b0 (2010-04-23) is vulnerable to a SQL Injection vulnerability in the `prepareSearchQuery()` method in `FulltextSearch.class.php`. The application directly concatenates user-supplied input (`$search_word`) into SQL queries without sanitization, allowing attackers to manipulate the SQL logic and potentially extract sensitive information or escalate their privileges.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS