CVE-2024-55160
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 39 - wyżej niż 39% wszystkich znanych CVE
Streszczenie
W systemie GFast w wersjach od 2 do 3.2 wykryto podatność na wstrzykiwanie SQL w parametrze OrderBy w endpointcie /system/operLog/list. Atakujący może manipulować tym parametrem, aby wykonać nieautoryzowane zapytania do bazy danych.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego dostępu do danych w bazie, ich modyfikacji lub usunięcia, co może prowadzić do naruszenia poufności i integralności danych organizacji.
Rekomendacja
Należy natychmiast zaktualizować system GFast do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest możliwa, należy zastosować walidację i sanityzację parametru OrderBy po stronie serwera.
Oryginalny opis (angielski, źródło NVD)
GFast between v2 to v3.2 was discovered to contain a SQL injection vulnerability via the OrderBy parameter at /system/operLog/list.

