CVE-2017-20281
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 - wyżej niż 18% wszystkich znanych CVE
Streszczenie
Komponent Joomla! Extra Search w wersji 2.2.8 zawiera podatność na wstrzyknięcie SQL, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL w parametrze establename. Atakujący mogą wysyłać żądania GET do index.php z parametrem option=com_extrasearch oraz złośliwym SQL w polu establename, aby wydobyć wrażliwe informacje z bazy danych.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do wrażliwych danych w bazie danych, co może prowadzić do utraty poufności i integralności danych.
Rekomendacja
Zaleca się aktualizację komponentu Extra Search do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich środków zabezpieczających, takich jak filtrowanie i walidacja danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Joomla! Component Extra Search 2.2.8 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the establename parameter. Attackers can send GET requests to index.php with the option=com_extrasearch parameter and malicious SQL in the establename field to extract sensitive database information.

