CRITICAL🇬🇧 English

CVE-2024-55509

SQL Injection w Codeastro Complaint Management System umożliwiający RCE i eskalację uprawnień

CVSS 9.8v3.1pub. 2024-12-20upd. 2025-04-03

Podatność typu SQL injection w Codeastro Complaint Management System v.1.0 pozwala zdalnemu atakującemu na wykonanie dowolnego kodu oraz eskalację uprawnień bez żadnego uwierzytelnienia. Krytyczny poziom zagrożenia wynika z możliwości pełnego przejęcia kontroli nad systemem przez sieć.

Pokaż oryginał (EN)

SQL injection vulnerability in CodeAstro Complaint Management System v.1.0 allows a remote attacker to execute arbitrary code and escalate privileges via the id parameter of the delete.php component.

🤖 Analiza AI
Jak działa

Luka występuje w parametrze 'id' komponentu delete.php, który nie jest właściwie sanityzowany przed użyciem w zapytaniu SQL. Atakujący może wstrzyknąć złośliwy kod SQL do tego parametru, co prowadzi do wykonania niezamierzonych operacji na bazie danych. Poprzez odpowiednio spreparowane zapytanie możliwe jest wykonanie dowolnego kodu (RCE) oraz podniesienie uprawnień w systemie (privilege escalation).

Skutki

Atakujący może uzyskać pełny dostęp do bazy danych, wykonać dowolny kod na serwerze oraz eskalować swoje uprawnienia — potencjalnie przejmując pełną kontrolę nad systemem (wysoka poufność, integralność i dostępność).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do komponentu delete.php np. poprzez firewall aplikacyjny (WAF) lub kontrolę dostępu na poziomie serwera WWW.

Kogo dotyczy

Codeastro Complaint Management System v.1.0

Uwagi

Podatność została zgłoszona i udokumentowana przez badacza prithivilakshmanan w repozytorium GitHub. Data publikacji CVE: 2024-12-20.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Codeastro Complaint Management System

    APP
    Codeastro
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCESQLiLPE
CWE
Referencje

Powiązane podatności

CVE-2024-55507CRITICAL9.8PL ✓ten sam produkt

Eskalacja uprawnień w Codeastro Complaint Management System v.1.0

CVE-2024-56889HIGH7.5ten sam produkt

Incorrect access control in the endpoint /admin/m_delete.php of CodeAstro Complaint Management System v1.0 all...

CVE-2024-55505HIGH8.8ten sam produkt

An issue in CodeAstro Complaint Management System v.1.0 allows a remote attacker to escalate privileges via th...

CVE-2024-55506HIGH8.8ten sam produkt

An IDOR vulnerability in CodeAstro's Complaint Management System v1.0 (version with 0 updates) enables an atta...

CVE-2025-70149CRITICAL9.8PL ✓ten sam vendor

SQL Injection w Codeastro Membership Management System via parametr ID

CVE-2024-55509 — SQL Injection w Codeastro Complaint Management System umożliwiający RCE i eskalację uprawnień — CRITICAL 9.8 | CVEbaza.pl