CVE-2020-26623
NiskieCVSS 3.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 47 — wyżej niż 47% wszystkich znanych CVE
Streszczenie
W CMS Gila w wersji 1.15.4 i wcześniejszych odkryto podatność na wstrzykiwanie SQL. Umożliwia ona zdalnemu atakującemu wykonanie dowolnych skryptów poprzez parametr Area w zakładce Administracja>Widgety po zalogowaniu.
Ocena ryzyka
Atakujący może uzyskać nieautoryzowany dostęp do bazy danych, wykraść lub zmodyfikować dane, a także potencjalnie przejąć kontrolę nad systemem CMS.
Rekomendacja
Należy natychmiast zaktualizować Gila CMS do najnowszej dostępnej wersji, która zawiera poprawkę eliminującą podatność na wstrzykiwanie SQL.
Oryginalny opis (angielski, źródło NVD)
SQL Injection vulnerability discovered in Gila CMS 1.15.4 and earlier allows a remote attacker to execute arbitrary web scripts via the Area parameter under the Administration>Widget tab after the login portal.

