CVE-2019-25748
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 - wyżej niż 21% wszystkich znanych CVE
Streszczenie
Joomla JHotelReservation w wersji 6.0.7 zawiera podatność na wstrzyknięcie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze rooms. Atakujący mogą wysyłać żądania POST do punktu końcowego search-hotels z odpowiednio skonstruowanymi ładunkami SQL w parametrze rooms, aby wydobyć wrażliwe informacje z bazy danych, w tym szczegóły wersji.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych, umożliwiając atakującym dostęp do wrażliwych informacji w bazie danych, co może prowadzić do dalszych ataków lub wycieku danych.
Rekomendacja
Zaleca się aktualizację Joomla JHotelReservation do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich środków zabezpieczających, takich jak filtrowanie i walidacja danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Joomla JHotelReservation 6.0.7 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the rooms parameter. Attackers can send POST requests to the search-hotels endpoint with crafted SQL payloads in the rooms parameter to extract sensitive database information including version details.

