CRITICAL🇬🇧 English

CVE-2023-51951

SQL Injection umożliwiający RCE w Stock Management System 1.0

CVSS 9.8v3.1pub. 2024-02-05upd. 2026-02-06

Stock Management System 1.0 zawiera krytyczną podatność typu SQL Injection w pliku manage_bo.php, umożliwiającą zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia. Wysoki wynik CVSS 9.8 odzwierciedla pełne zagrożenie dla poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

SQL Injection vulnerability in Stock Management System 1.0 allows a remote attacker to execute arbitrary code via the id parameter in the manage_bo.php file.

🤖 Analiza AI
Jak działa

Podatność występuje w parametrze 'id' przekazywanym do pliku manage_bo.php, który nie jest odpowiednio walidowany ani sanityzowany przed użyciem w zapytaniu SQL. Atakujący może wstrzyknąć złośliwy kod SQL poprzez sieć, bez konieczności posiadania jakichkolwiek uprawnień czy interakcji użytkownika. Poprzez odpowiednio spreparowany payload SQL możliwe jest wykonanie dowolnego kodu na serwerze (RCE).

Skutki

Atakujący może uzyskać pełną kontrolę nad bazą danych oraz wykonać dowolny kod na serwerze, co prowadzi do naruszenia poufności, integralności i dostępności całego systemu. Możliwe jest wykradnięcie danych, ich modyfikacja lub całkowite zniszczenie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środek tymczasowy zaleca się ograniczenie dostępu sieciowego do aplikacji, wdrożenie reguł firewall oraz zastosowanie Web Application Firewall (WAF) blokującego typowe wzorce SQL Injection.

Kogo dotyczy

Stock Management System w wersji 1.0 (projekt 'Stock Management System Project').

Uwagi

Publicznie dostępny exploit opublikowany w serwisie Exploit-DB (ID: 51990). Podatność została zgłoszona przez firmę WizLynx Group i opisana w ich biuletynie bezpieczeństwa WLX-2023-004.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Stock Management System Project Stock Management System

    APP
    Stock Management System Project
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCESQLi
CWE
Referencje

Powiązane podatności

CVE-2024-36779CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Sourcecodester Stock Management System v1.0

CVE-2020-24197CRITICAL9.8ten sam produkt

A SQL injection vulnerability in the login component in Stock Management System v1.0 allows remote attacker to...

CVE-2022-4088HIGH7.3ten sam produkt

A vulnerability was found in rickxy Stock Management System and classified as critical. Affected by this issue...

CVE-2020-23830HIGH7.1ten sam produkt

A Cross-Site Request Forgery (CSRF) vulnerability in changeUsername.php in SourceCodester Stock Management Sys...

CVE-2022-4089MEDIUM4.3ten sam produkt

A vulnerability was found in rickxy Stock Management System. It has been declared as problematic. This vulnera...