SiberianCMS zawiera krytyczną podatność typu SQL Injection (CWE-89), umożliwiającą nieautoryzowanemu atakującemu manipulację zapytaniami do bazy danych. Ze względu na brak wymagań uwierzytelnienia i sieciowy wektor ataku, podatność stanowi poważne zagrożenie dla poufności, integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
SiberianCMS - CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w danych wejściowych przekazywanych do poleceń SQL (Improper Neutralization of Special Elements used in an SQL Command). Atakujący może wstrzykiwać złośliwe fragmenty kodu SQL do zapytań wykonywanych przez aplikację, co pozwala na manipulowanie logiką bazy danych. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika i może być przeprowadzony zdalnie przez sieć.
Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych, modyfikować lub usuwać dane oraz potencjalnie przejąć kontrolę nad systemem, co skutkuje pełnym naruszeniem poufności, integralności i dostępności aplikacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do aplikacji na poziomie firewall oraz wdrożenie mechanizmów WAF (Web Application Firewall) jako środek tymczasowy do czasu zastosowania aktualizacji.
SiberianCMS — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSiberiancms
APPSiberiancms< 5.0.11
Powiązane podatności
SiberianCMS - CWE-274: Improper Handling of Insufficient Privileges
SiberianCMS - CWE-434: Unrestricted Upload of File with Dangerous Type - A malicious user with administrative...
SiberianCMS - CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') b...
A vulnerability was found in SiberianCMS 4.20.6. It has been rated as problematic. Affected by this issue is s...
SiberianCMS - CWE-284 Improper Access Control Authorized user may disable a security feature over the network...