Katalog CVE

CVE-2017-20280

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 14 - wyżej niż 14% wszystkich znanych CVE

Streszczenie

Komponent Joomla Myportfolio w wersji 3.0.2 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL przez parametr pid. Atakujący mogą wysyłać żądania GET do index.php z złośliwymi wartościami pid w punkcie końcowym task=project&view=grid, aby wydobyć wrażliwe informacje z bazy danych.

Ocena ryzyka

Podatność ta stwarza ryzyko ujawnienia wrażliwych danych z bazy danych, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty zaufania użytkowników.

Rekomendacja

Zaleca się aktualizację komponentu Myportfolio do najnowszej wersji, która eliminuje tę podatność, oraz wdrożenie odpowiednich środków zabezpieczających, takich jak filtrowanie i walidacja danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Joomla Component Myportfolio 3.0.2 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the pid parameter. Attackers can send GET requests to index.php with malicious pid values in the task=project&view=grid endpoint to extract sensitive database information.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS