Katalog CVE

CVE-2019-25748

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 21 - wyżej niż 21% wszystkich znanych CVE

Streszczenie

Joomla JHotelReservation w wersji 6.0.7 zawiera podatność na wstrzyknięcie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze rooms. Atakujący mogą wysyłać żądania POST do punktu końcowego search-hotels z odpowiednio skonstruowanymi ładunkami SQL w parametrze rooms, aby wydobyć wrażliwe informacje z bazy danych, w tym szczegóły wersji.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych, umożliwiając atakującym dostęp do wrażliwych informacji w bazie danych, co może prowadzić do dalszych ataków lub wycieku danych.

Rekomendacja

Zaleca się aktualizację Joomla JHotelReservation do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich środków zabezpieczających, takich jak filtrowanie i walidacja danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Joomla JHotelReservation 6.0.7 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the rooms parameter. Attackers can send POST requests to the search-hotels endpoint with crafted SQL payloads in the rooms parameter to extract sensitive database information including version details.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS