Katalog CVE

CVE-2019-25754

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 28 - wyżej niż 28% wszystkich znanych CVE

Streszczenie

Komponent Joomla vRestaurant w wersji 1.9.4 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze keysearch. Atakujący mogą wysyłać żądania POST do punktu końcowego menu-listing-layout z przygotowanymi ładunkami SQL w parametrze keysearch, aby wydobyć nazwy tabel bazy danych oraz wrażliwe informacje.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym dostęp do wrażliwych danych w bazie danych, co może prowadzić do utraty danych lub naruszenia prywatności użytkowników.

Rekomendacja

Zaleca się aktualizację komponentu vRestaurant do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich środków zabezpieczających, takich jak filtrowanie danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Joomla Component vRestaurant 1.9.4 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the keysearch parameter. Attackers can send POST requests to the menu-listing-layout endpoint with crafted SQL payloads in the keysearch parameter to extract database table names and sensitive information from the database.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS