Katalog CVE

CVE-2019-25759

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 - wyżej niż 12% wszystkich znanych CVE

Streszczenie

Komponent Joomla! vBizz w wersji 1.0.7 zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr payid. Atakujący mogą przesyłać żądania POST do interfejsu zarządzania pracownikami z przygotowanymi wartościami tablicy payid zawierającymi polecenia SQL.

Ocena ryzyka

Podatność ta może prowadzić do ujawnienia wrażliwych informacji z bazy danych, takich jak wersje i nazwy baz danych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację komponentu vBizz do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie logów w celu wykrycia potencjalnych prób ataków.

Oryginalny opis (angielski, źródło NVD)

Joomla! Component vBizz 1.0.7 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the payid parameter. Attackers can submit POST requests to the employee management interface with crafted payid array values containing SQL commands to extract sensitive database information including version and database names.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS