CRITICAL🇬🇧 English

CVE-2024-48283

SQL Injection w Phpgurukul User Management System 3.2 – parametr searchkey

CVSS 9.8v3.1pub. 2024-10-15upd. 2025-04-04

Phpgurukul User Registration & Login and User Management System w wersji 3.2 zawiera krytyczną podatność SQL Injection w panelu administracyjnym. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań do bazy danych.

Pokaż oryginał (EN)

Phpgurukul User Registration & Login and User Management System 3.2 is vulnerable to SQL Injection in /admin//search-result.php via the searchkey parameter.

🤖 Analiza AI
Jak działa

Podatność występuje w pliku /admin//search-result.php, gdzie parametr searchkey przekazywany przez użytkownika nie jest odpowiednio walidowany ani filtrowany przed użyciem w zapytaniu SQL. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio do tego parametru, manipulując logiką zapytania wykonywanego przez serwer bazodanowy. Atak nie wymaga uwierzytelnienia ani interakcji ze strony użytkownika, co znacząco obniża próg jego wykonania.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do pełnej zawartości bazy danych (w tym danych uwierzytelniających użytkowników i administratorów), a w zależności od konfiguracji serwera bazy danych — również modyfikować lub usuwać dane oraz potencjalnie wykonywać polecenia systemowe.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środek tymczasowy zaleca się ograniczenie dostępu do panelu administracyjnego wyłącznie do zaufanych adresów IP oraz wdrożenie reguł WAF blokujących typowe wzorce SQL Injection.

Kogo dotyczy

Phpgurukul User Registration & Login and User Management System wersja 3.2

Uwagi

Dostępny jest publiczny writeup techniczny dokumentujący podatność, opublikowany w repozytorium GitHub przez badacza m14r41.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Phpgurukul User Registration \& Login And User Management System

    APP
    Phpgurukul
    3.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-45949CRITICAL9.8PL ✓ten sam produkt

Session Hijacking w PHPGurukul User Management System V3.3

CVE-2020-25952CRITICAL9.8ten sam produkt

SQL injection vulnerability in PHPGurukul User Registration & Login and User Management System With admin pane...

CVE-2024-48280HIGH7.6ten sam produkt

A SQL Injection vulnerability was found in /search-result.php of PHPGurukul User Registration & Login and User...

CVE-2024-48279HIGH7.6ten sam produkt

A HTML Injection vulnerability was found in /search-result.php of PHPGurukul User Registration & Login and Use...

CVE-2024-48282HIGH7.6ten sam produkt

A SQL Injection vulnerability was found in /password-recovery.php of PHPGurukul User Registration & Login and ...