CVE-2017-20267
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 - wyżej niż 25% wszystkich znanych CVE
Streszczenie
Komponent Calendar Planner w Joomla! w wersji 1.0.1 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wstrzykiwanie poleceń SQL przez parametr category_id. Atakujący mogą wysyłać żądania GET do widoku wydarzeń z złośliwym kodem SQL w parametrze category_id, aby wydobyć wrażliwe informacje z bazy danych.
Ocena ryzyka
Podatność ta stwarza ryzyko ujawnienia wrażliwych danych z bazy danych, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty zaufania użytkowników.
Rekomendacja
Zaleca się aktualizację komponentu Calendar Planner do najnowszej wersji oraz wdrożenie filtracji i walidacji danych wejściowych w celu zapobiegania wstrzykiwaniu SQL.
Oryginalny opis (angielski, źródło NVD)
Joomla! Component Calendar Planner 1.0.1 contains an SQL injection vulnerability that allows unauthenticated attackers to inject SQL commands through the category_id parameter. Attackers can send GET requests to the events view with malicious SQL code in the category_id parameter to extract sensitive database information.

