Katalog CVE
CVE-2020-26624
NiskieCVSS 3.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzyko0.66%
Percentyl 47 — wyżej niż 47% wszystkich znanych CVE
Streszczenie
W Gila CMS 1.15.4 i wcześniejszych wykryto podatność na wstrzykiwanie SQL w parametrze ID po zalogowaniu, umożliwiającą zdalnemu atakującemu wykonanie dowolnych skryptów SQL.
Ocena ryzyka
Atakujący może uzyskać nieautoryzowany dostęp do bazy danych, wykraść lub zmodyfikować dane, a w skrajnych przypadkach przejąć kontrolę nad serwerem.
Rekomendacja
Należy natychmiast zaktualizować Gila CMS do wersji nowszej niż 1.15.4 oraz zastosować parametryzację zapytań SQL w kodzie aplikacji.
Oryginalny opis (angielski, źródło NVD)
A SQL injection vulnerability was discovered in Gila CMS 1.15.4 and earlier which allows a remote attacker to execute arbitrary web scripts via the ID parameter after the login portal.

