Katalog CVE

CVE-2017-20257

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 25 - wyżej niż 25% wszystkich znanych CVE

Streszczenie

Komponent Joomla! Quiz Deluxe w wersji 3.7.4 zawiera podatność na wstrzyknięcie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń SQL poprzez zadanie ajaxaction.flag_question. Atakujący mogą wstrzykiwać złośliwy kod SQL za pomocą parametrów stu_quiz_id lub flag_quest, co umożliwia manipulację zapytaniami do bazy danych oraz wyciąganie wrażliwych informacji.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym dostęp do wrażliwych danych w bazie danych, co może prowadzić do utraty poufności i integralności informacji.

Rekomendacja

Zaleca się aktualizację komponentu Joomla! Quiz Deluxe do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich środków zabezpieczających, takich jak filtrowanie i walidacja danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Joomla! Component Quiz Deluxe 3.7.4 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL commands through the ajaxaction.flag_question task. Attackers can inject malicious SQL code via the stu_quiz_id or flag_quest parameters to manipulate database queries and extract sensitive information.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS