CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-36058

Critical
Published: Translated: NVD NIST

Summary

Funkcjonalność Send Basket w Koha Library przed wersją 23.05.10 jest podatna na atak typu Time-Based SQL Injection. Problem wynika z braku sanitizacji parametru POST bib_list w pliku /cgi-bin/koha/opac-sendbasket.pl, co umożliwia użytkownikom biblioteki odczyt dowolnych danych z bazy danych.

Risk Assessment

Atakujący może uzyskać dostęp do poufnych informacji przechowywanych w bazie danych, co może prowadzić do naruszenia prywatności użytkowników oraz utraty zaufania do systemu bibliotecznego.

Recommendation

Zaleca się aktualizację Koha Library do wersji 23.05.10 lub nowszej oraz wprowadzenie dodatkowych mechanizmów sanitizacji danych wejściowych w celu zabezpieczenia przed atakami SQL Injection.

Original NVD description (English source)

The Send Basket functionality in Koha Library before 23.05.10 is susceptible to Time-Based SQL Injection because it fails to sanitize the POST parameter bib_list in /cgi-bin/koha/opac-sendbasket.pl, allowing library users to read arbitrary data from the database.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS