Katalog CVE

CVE-2017-20252

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 - wyżej niż 24% wszystkich znanych CVE

Streszczenie

Joomla NextGen Editor w wersji 2.1.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń SQL poprzez parametr plname. Atakujący mogą wysyłać żądania GET do index.php z opcją com_nge&view=config i wstrzykiwać złośliwy kod SQL w parametrze plname, aby wydobyć wrażliwe informacje z bazy danych.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych w organizacji, umożliwiając atakującym dostęp do wrażliwych informacji w bazie danych. Może to prowadzić do utraty poufności danych oraz naruszenia przepisów o ochronie danych.

Rekomendacja

Zaleca się aktualizację Joomla NextGen Editor do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić odpowiednie zabezpieczenia, takie jak filtrowanie danych wejściowych i monitorowanie ruchu sieciowego.

Oryginalny opis (angielski, źródło NVD)

Joomla NextGen Editor 2.1.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL commands through the plname parameter. Attackers can send GET requests to index.php with option=com_nge&view=config and inject malicious SQL code in the plname parameter to extract sensitive database information.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS