CVE-2017-20268
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 - wyżej niż 18% wszystkich znanych CVE
Streszczenie
Komponent Joomla! Zap Calendar Lite w wersji 4.3.4 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze 'eid'. Atakujący mogą wysyłać żądania GET do punktu końcowego wtyczki RSVP z odpowiednio skonstruowanymi ładunkami SQL w celu wydobycia wrażliwych informacji z bazy danych.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do poufnych informacji w bazie danych, co może prowadzić do dalszych ataków lub wycieku danych.
Rekomendacja
Zaleca się aktualizację komponentu Zap Calendar Lite do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich środków zabezpieczających, takich jak filtrowanie i walidacja danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Joomla! Component Zap Calendar Lite 4.3.4 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the 'eid' parameter. Attackers can send GET requests to the RSVP plugin endpoint with crafted SQL payloads to extract sensitive database information including database names and table structures.

