CVE-2025-61548
KrytyczneStreszczenie
W aplikacji edu Business Solutions Print Shop Pro WebDesk w wersji 18.34 występuje podatność typu SQL Injection w parametrze hfInventoryDistFormID w punkcie końcowym /PSP/appNET/Store/CartV12.aspx/GetUnitPrice. Nieprawidłowe przetwarzanie danych wejściowych użytkownika umożliwia atakującym zdalne wykonywanie dowolnych poleceń SQL.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do bazy danych i potencjalne wykradanie lub modyfikowanie danych. Może to prowadzić do utraty poufności i integralności danych.
Rekomendacja
Zaleca się aktualizację do wersji 19.69 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy wprowadzić odpowiednie mechanizmy sanitizacji i parametryzacji danych wejściowych w aplikacji.
Oryginalny opis (angielski, źródło NVD)
SQL Injection is present on the hfInventoryDistFormID parameter in the /PSP/appNET/Store/CartV12.aspx/GetUnitPrice endpoint in edu Business Solutions Print Shop Pro WebDesk version 18.34 (fixed in 19.69). Unsanitized user input is incorporated directly into SQL queries without proper parameterization or escaping. This vulnerability allows remote attackers to execute arbitrary SQL commands

