CRITICAL🇬🇧 English

CVE-2024-24093

SQL Injection w Code-Projects Scholars Tracking System 1.0

CVSS 9.8v3.1pub. 2024-03-12upd. 2025-04-03

W systemie Code-Projects Scholars Tracking System 1.0 odkryto krytyczną podatność typu SQL Injection, umożliwiającą nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu. Ze względu na brak wymagań dotyczących uwierzytelnienia oraz najwyższy wynik CVSS (9.8), podatność stanowi poważne zagrożenie dla każdej instalacji tego oprogramowania.

Pokaż oryginał (EN)

SQL Injection vulnerability in Code-projects Scholars Tracking System 1.0 allows attackers to run arbitrary code via Personal Information Update information.

🤖 Analiza AI
Jak działa

Podatność występuje w funkcjonalności aktualizacji danych osobowych (Personal Information Update). Atakujący może wprowadzić złośliwie spreparowane dane wejściowe do odpowiedniego pola formularza, które są następnie przekazywane bezpośrednio do zapytania SQL bez odpowiedniej walidacji ani sanityzacji. W ten sposób możliwe jest zmodyfikowanie logiki zapytania do bazy danych i wykonanie dowolnych poleceń SQL (CWE-89).

Skutki

Atakujący może uzyskać pełną kontrolę nad bazą danych aplikacji — odczytać, zmodyfikować lub usunąć przechowywane dane, a także potencjalnie wykonać dowolny kod po stronie serwera, co skutkuje naruszeniem poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie parametryzowanych zapytań SQL oraz mechanizmów walidacji danych wejściowych, a także ograniczenie dostępu sieciowego do aplikacji do zaufanych źródeł.

Kogo dotyczy

Code-Projects Scholars Tracking System w wersji 1.0

Uwagi

Publiczny opis podatności wraz z dowodem koncepcji (proof-of-concept) dostępny jest w repozytorium GitHub użytkownika ASR511-OO7.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Code Projects Scholars Tracking System

    APP
    Code-Projects
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2024-24101CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Code-Projects Scholars Tracking System 1.0

CVE-2024-24092HIGH7.8ten sam produkt

SQL Injection vulnerability in Code-projects.org Scholars Tracking System 1.0 allows attackers to run arbitrar...

CVE-2024-24097MEDIUM5.4ten sam produkt

Cross Site Scripting (XSS) vulnerability in Code-projects Scholars Tracking System 1.0 allows attackers to run...

CVE-2024-24099MEDIUM5.4ten sam produkt

Code-projects Scholars Tracking System 1.0 is vulnerable to SQL Injection under Employment Status Information ...

CVE-2025-60306CRITICAL9.9PL ✓ten sam vendor

Auth Bypass w Simple Car Rental System — przejęcie sesji wysokich uprawnień