CVE-2019-25752
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 - wyżej niż 28% wszystkich znanych CVE
Streszczenie
Komponent J-BusinessDirectory w wersji 4.9.7 dla Joomla! zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze type. Atakujący mogą wysyłać żądania GET do index.php z parametrami option=com_jbusinessdirectory&task=categories.getCategories i wstrzykiwać zapytania SQL oparte na UNION, aby wydobyć informacje z bazy danych, w tym nazwy schematów i dane wrażliwe.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do wrażliwych danych w bazie danych. Może to prowadzić do utraty poufności danych oraz naruszenia przepisów dotyczących ochrony danych.
Rekomendacja
Zaleca się aktualizację komponentu J-BusinessDirectory do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak filtrowanie i walidacja danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Joomla! Component J-BusinessDirectory 4.9.7 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the type parameter. Attackers can send GET requests to index.php with the option=com_jbusinessdirectory&task=categories.getCategories parameters and inject UNION-based SQL statements in the type parameter to extract database information including schema names and sensitive data.

