Katalog CVE

CVE-2017-20264

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 - wyżej niż 15% wszystkich znanych CVE

Streszczenie

Komponent Sponsor Wall w Joomla! w wersji 8.0 zawiera podatność na wstrzyknięcie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr wallid. Atakujący mogą wysyłać żądania GET do index.php z parametrami zawierającymi ładunki wstrzyknięcia SQL.

Ocena ryzyka

Podatność ta umożliwia atakującym dostęp do wrażliwych informacji w bazie danych, w tym danych uwierzytelniających i konfiguracji, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.

Rekomendacja

Zaleca się aktualizację komponentu Sponsor Wall do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich środków zabezpieczających, takich jak filtrowanie danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Joomla! Component Sponsor Wall 8.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the wallid parameter. Attackers can send GET requests to index.php with the option=com_sponsorwall&task=click&wallid parameter containing SQL injection payloads to extract sensitive database information including credentials and configuration data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS