Katalog CVE

CVE-2017-20281

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 - wyżej niż 18% wszystkich znanych CVE

Streszczenie

Komponent Joomla! Extra Search w wersji 2.2.8 zawiera podatność na wstrzyknięcie SQL, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL w parametrze establename. Atakujący mogą wysyłać żądania GET do index.php z parametrem option=com_extrasearch oraz złośliwym SQL w polu establename, aby wydobyć wrażliwe informacje z bazy danych.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do wrażliwych danych w bazie danych, co może prowadzić do utraty poufności i integralności danych.

Rekomendacja

Zaleca się aktualizację komponentu Extra Search do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich środków zabezpieczających, takich jak filtrowanie i walidacja danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Joomla! Component Extra Search 2.2.8 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the establename parameter. Attackers can send GET requests to index.php with the option=com_extrasearch parameter and malicious SQL in the establename field to extract sensitive database information.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS