CVE-2017-20259
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 - wyżej niż 25% wszystkich znanych CVE
Streszczenie
Joomla OSDownloads w wersji 1.7.4 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr id. Atakujący mogą wysyłać żądania GET do index.php z opcją=com_osdownloads&view=item&id=[SQL], aby wydobyć wrażliwe informacje z bazy danych, w tym dane uwierzytelniające i dane konfiguracyjne.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych organizacji, umożliwiając atakującym dostęp do poufnych informacji. Może to prowadzić do utraty danych, naruszenia prywatności oraz usunięcia lub zmiany krytycznych danych.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie Joomla OSDownloads do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak filtrowanie danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Joomla OSDownloads 1.7.4 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the id parameter. Attackers can send GET requests to index.php with option=com_osdownloads&view=item&id=[SQL] to extract sensitive database information including credentials and configuration data.

