Katalog CVE

CVE-2017-20267

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 25 - wyżej niż 25% wszystkich znanych CVE

Streszczenie

Komponent Calendar Planner w Joomla! w wersji 1.0.1 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wstrzykiwanie poleceń SQL przez parametr category_id. Atakujący mogą wysyłać żądania GET do widoku wydarzeń z złośliwym kodem SQL w parametrze category_id, aby wydobyć wrażliwe informacje z bazy danych.

Ocena ryzyka

Podatność ta stwarza ryzyko ujawnienia wrażliwych danych z bazy danych, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty zaufania użytkowników.

Rekomendacja

Zaleca się aktualizację komponentu Calendar Planner do najnowszej wersji oraz wdrożenie filtracji i walidacji danych wejściowych w celu zapobiegania wstrzykiwaniu SQL.

Oryginalny opis (angielski, źródło NVD)

Joomla! Component Calendar Planner 1.0.1 contains an SQL injection vulnerability that allows unauthenticated attackers to inject SQL commands through the category_id parameter. Attackers can send GET requests to the events view with malicious SQL code in the category_id parameter to extract sensitive database information.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS