CVE-2019-25761
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
Komponent JoomCRM w wersji 1.1.1 zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze deal_id. Atakujący mogą wysyłać żądania GET do index.php z opcją com_joomcrm i widokiem contacts, aby wydobyć wrażliwe informacje z bazy danych.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia wrażliwych informacji z bazy danych, takich jak nazwy tabel i schematy, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji.
Rekomendacja
Zaleca się aktualizację komponentu JoomCRM do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie logów w celu wykrycia potencjalnych prób ataków.
Oryginalny opis (angielski, źródło NVD)
Joomla! Component JoomCRM 1.1.1 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the deal_id parameter. Attackers can send GET requests to index.php with option=com_joomcrm&view=contacts and inject SQL code in the deal_id parameter to extract sensitive database information including table names and schemas.

