CRITICAL🇬🇧 English

CVE-2024-31546

SQL Injection w Computer Laboratory Management System v1.0 — parametr 'id'

CVSS 9.8v3.1pub. 2024-04-19upd. 2025-04-14

System Computer Laboratory Management System v1.0 jest podatny na SQL Injection poprzez parametr 'id' w pliku /admin/damage/view_damage.php. Podatność pozwala nieuwierzytelnionemu atakującemu na manipulowanie zapytaniami SQL i uzyskanie pełnego dostępu do bazy danych.

Pokaż oryginał (EN)

Computer Laboratory Management System v1.0 is vulnerable to SQL Injection via the "id" parameter of /admin/damage/view_damage.php.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie HTTP do endpointu /admin/damage/view_damage.php, wstrzykując złośliwy kod SQL w parametr 'id'. Aplikacja nie waliduje ani nie filtruje poprawnie danych wejściowych, przez co wstrzyknięty kod jest bezpośrednio wykonywany przez silnik bazy danych. Brak wymagania uwierzytelnienia (PR:N) oraz niski poziom złożoności ataku (AC:L) sprawiają, że exploit może zostać przeprowadzony bez żadnych specjalnych warunków wstępnych.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wszystkich danych przechowywanych w bazie danych (poufność), modyfikować lub usuwać dane (integralność), a w określonych konfiguracjach doprowadzić do niedostępności systemu (dostępność). Możliwe jest również wyłudzenie danych uwierzytelniających do systemu i przejęcie kont administratorów.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do panelu administracyjnego (/admin/) na poziomie firewall lub serwera WWW oraz wdrożenie parametryzowanych zapytań SQL (prepared statements) w kodzie aplikacji.

Kogo dotyczy

Computer Laboratory Management System v1.0 autorstwa Oretnom23

Uwagi

Publicznie dostępny dokument PoC (Proof of Concept) znajduje się w repozytorium GitHub badacza emirhanmtl, co znacznie obniża próg wejścia dla potencjalnych atakujących.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Oretnom23 Computer Laboratory Management System

    APP
    Oretnom23
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2024-34479CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Computer Laboratory Management System

CVE-2024-34480CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Computer Laboratory Management System 1.0

CVE-2024-31545CRITICAL9.4PL ✓ten sam produkt

SQL Injection w Computer Laboratory Management System v1.0 (parametr 'id')

CVE-2024-31547CRITICAL9.1PL ✓ten sam produkt

SQL Injection w Computer Laboratory Management System v1.0

CVE-2025-45956HIGH8.8ten sam produkt

A SQL injection vulnerability in manage_damage.php in Sourcecodester Computer Laboratory Management System v1....

CVE-2024-31546 — SQL Injection w Computer Laboratory Management System v1.0 — parametr 'id' — CRITICAL 9.8 | CVEbaza.pl