SourceCodester Client Database Management System 1.0 zawiera krytyczną podatność typu SQL Injection w pliku superadmin_phpmyadmin.php. Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań SQL, co może prowadzić do pełnego przejęcia bazy danych i systemu.
▸ Pokaż oryginał (EN)
SourceCodester Client Database Management System 1.0 is vulnerable to SQL Injection in superadmin_phpmyadmin.php.
Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych do zapytań SQL w pliku superadmin_phpmyadmin.php. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio przez sieć, bez konieczności uwierzytelnienia (wektor AV:N, PR:N). Jedna z referencji wskazuje na możliwość eskalacji ataku SQL Injection do zdalnego wykonania kodu (RCE), co czyni podatność szczególnie niebezpieczną.
Atakujący może uzyskać nieautoryzowany dostęp do pełnej zawartości bazy danych, modyfikować lub usuwać dane, a potencjalnie doprowadzić do zdalnego wykonania kodu (RCE) na serwerze. Podatność zagraża poufności, integralności i dostępności systemu w najwyższym stopniu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie dostępu sieciowego do podatnego pliku superadmin_phpmyadmin.php na poziomie firewall lub serwera WWW oraz wdrożenie mechanizmów walidacji danych wejściowych po stronie serwera.
SourceCodester Client Database Management System w wersji 1.0
Jedna z referencji (medium.com) opisuje technikę eskalacji SQL Injection do RCE, co sugeruje istnienie publicznie dostępnej dokumentacji eksploitacji tej klasy podatności w kontekście podobnych systemów.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLerouxyxchire Client Database Management System
APPLerouxyxchire1.0
Powiązane podatności
SQL Injection w SourceCodester Client Database Management System 1.0
SQL Injection w SourceCodester Client Database Management System 1.0
Dowolne przesyłanie plików i RCE w SourceCodester Client Database Management System 1.0
SQL Injection w SourceCodester Client Database Management System 1.0
RCE poprzez Arbitrary File Upload w SourceCodester Client Database Management System 1.0