CRITICAL🇬🇧 English

CVE-2024-35409

SQL Injection w WeBid 1.1.2 via admin/tax.php

CVSS 9.8v3.1pub. 2024-05-22upd. 2025-05-28

WeBid w wersji 1.1.2 zawiera krytyczną podatność typu SQL Injection w pliku admin/tax.php. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne manipulowanie bazą danych systemu aukcyjnego.

Pokaż oryginał (EN)

WeBid 1.1.2 is vulnerable to SQL Injection via admin/tax.php.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych do zapytań SQL w pliku admin/tax.php. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio przez sieć, bez konieczności posiadania jakichkolwiek uprawnień ani interakcji ze strony użytkownika. Pozwala to na manipulowanie logiką zapytań do bazy danych aplikacji.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w bazie danych, modyfikować lub usuwać dane, a w sprzyjających okolicznościach przejąć pełną kontrolę nad aplikacją i serwerem bazodanowym.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do panelu administracyjnego (katalog admin/) wyłącznie do zaufanych adresów IP na poziomie firewalla lub konfiguracji serwera WWW.

Kogo dotyczy

WeBid w wersji 1.1.2

Uwagi

Szczegółowy opis podatności wraz z dowodem koncepcji (proof of concept) dostępny jest publicznie w repozytorium GitHub pod adresem wskazanym w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Webidsupport Webid

    APP
    Webidsupport
    1.1.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2023-47397CRITICAL9.8ten sam produkt

WeBid <=1.2.2 is vulnerable to code injection via admin/categoriestrans.php.

CVE-2022-41477CRITICAL9.1ten sam produkt

A security issue was discovered in WeBid <=1.2.2. A Server-Side Request Forgery (SSRF) vulnerability in the ad...

CVE-2020-23359CRITICAL9.8ten sam produkt

WeBid 1.2.2 admin/newuser.php has an issue with password rechecking during registration because it uses a loos...

CVE-2024-32166HIGH8.8ten sam produkt

Webid v1.2.1 suffers from an Insecure Direct Object Reference (IDOR) - Broken Access Control vulnerability, al...

CVE-2018-1000867HIGH8.8ten sam produkt

WeBid version up to current version 1.2.2 contains a SQL Injection vulnerability in All five yourauctions*.php...