CRITICAL🇬🇧 English

CVE-2024-34480

SQL Injection w SourceCodester Computer Laboratory Management System 1.0

CVSS 9.8v3.1pub. 2024-08-07upd. 2024-08-08

SourceCodester Computer Laboratory Management System 1.0 zawiera podatność typu SQL injection w parametrze 'id' pliku admin/category/view_category.php. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL) i pozwala nieuwierzytelnionemu atakującemu na pełną kompromitację bazy danych aplikacji.

Pokaż oryginał (EN)

SourceCodester Computer Laboratory Management System 1.0 allows admin/category/view_category.php id SQL Injection.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowane zapytanie HTTP do endpointu admin/category/view_category.php, umieszczając złośliwy payload SQL w parametrze 'id'. Aplikacja nie waliduje ani nie filtruje poprawnie danych wejściowych przed przekazaniem ich do zapytania bazodanowego, co umożliwia manipulację logiką wykonywanego zapytania SQL. Ze względu na wektor sieciowy (AV:N), brak wymogu uwierzytelnienia (PR:N) oraz brak interakcji użytkownika (UI:N), atak może być przeprowadzony zdalnie i w pełni automatycznie.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych, modyfikować lub usuwać dane, a w określonych konfiguracjach serwera bazy danych potencjalnie wykonywać polecenia systemowe — co oznacza pełną utratę poufności, integralności i dostępności danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie parametryzowanych zapytań (prepared statements) w kodzie aplikacji oraz ograniczenie dostępu do panelu administracyjnego wyłącznie do zaufanych adresów IP.

Kogo dotyczy

SourceCodester Computer Laboratory Management System w wersji 1.0

Uwagi

Podatność została opublikowana 2024-08-07 i zgłoszona przez serwis cxsecurity.com (WLB-2024080003). Oprogramowanie SourceCodester jest ogólnodostępnym projektem open-source, co zwiększa ekspozycję na potencjalne ataki.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Oretnom23 Computer Laboratory Management System

    APP
    Oretnom23
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2024-34479CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Computer Laboratory Management System

CVE-2024-31545CRITICAL9.4PL ✓ten sam produkt

SQL Injection w Computer Laboratory Management System v1.0 (parametr 'id')

CVE-2024-31547CRITICAL9.1PL ✓ten sam produkt

SQL Injection w Computer Laboratory Management System v1.0

CVE-2024-31546CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Computer Laboratory Management System v1.0 — parametr 'id'

CVE-2025-45956HIGH8.8ten sam produkt

A SQL injection vulnerability in manage_damage.php in Sourcecodester Computer Laboratory Management System v1....