CRITICAL🇬🇧 English

CVE-2024-41702

SQL Injection w SiberianCMS — krytyczna podatność bazy danych

CVSS 9.8v3.1pub. 2024-07-30upd. 2024-11-21

SiberianCMS zawiera krytyczną podatność typu SQL Injection (CWE-89), umożliwiającą nieautoryzowanemu atakującemu manipulację zapytaniami do bazy danych. Ze względu na brak wymagań uwierzytelnienia i sieciowy wektor ataku, podatność stanowi poważne zagrożenie dla poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

SiberianCMS - CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w danych wejściowych przekazywanych do poleceń SQL (Improper Neutralization of Special Elements used in an SQL Command). Atakujący może wstrzykiwać złośliwe fragmenty kodu SQL do zapytań wykonywanych przez aplikację, co pozwala na manipulowanie logiką bazy danych. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika i może być przeprowadzony zdalnie przez sieć.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych, modyfikować lub usuwać dane oraz potencjalnie przejąć kontrolę nad systemem, co skutkuje pełnym naruszeniem poufności, integralności i dostępności aplikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do aplikacji na poziomie firewall oraz wdrożenie mechanizmów WAF (Web Application Firewall) jako środek tymczasowy do czasu zastosowania aktualizacji.

Kogo dotyczy

SiberianCMS — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Siberiancms

    APP
    Siberiancms
    < 5.0.11
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2023-39375HIGH7.5ten sam produkt

SiberianCMS - CWE-274: Improper Handling of Insufficient Privileges

CVE-2023-39377HIGH7.2ten sam produkt

SiberianCMS - CWE-434: Unrestricted Upload of File with Dangerous Type - A malicious user with administrative...

CVE-2023-39378HIGH8.8ten sam produkt

SiberianCMS - CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') b...

CVE-2025-1105MEDIUM5.3ten sam produkt

A vulnerability was found in SiberianCMS 4.20.6. It has been rated as problematic. Affected by this issue is s...

CVE-2023-39376MEDIUM6.5ten sam produkt

SiberianCMS - CWE-284 Improper Access Control Authorized user may disable a security feature over the network...