SourceCodester Pet Grooming Management Software 1.0 zawiera podatność typu SQL Injection w pliku admin/view_customer.php, umożliwiającą nieuwierzytelnionemu atakującemu manipulację zapytaniami bazodanowymi. Ze względu na brak wymagań uwierzytelnienia i dostępność sieciową, podatność stanowi poważne zagrożenie dla poufności i integralności danych.
▸ Pokaż oryginał (EN)
SourceCodester Pet Grooming Management Software 1.0 is vulnerable to SQL Injection in admin/view_customer.php via the ID parameter.
Parametr ID przekazywany do skryptu admin/view_customer.php nie jest odpowiednio walidowany ani sanityzowany przed użyciem w zapytaniu SQL. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio przez parametr URL, co pozwala na manipulację logiką zapytań kierowanych do bazy danych. Atak nie wymaga żadnego uwierzytelnienia ani interakcji po stronie użytkownika, a jego przeprowadzenie jest możliwe zdalnie przez sieć.
Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych (poufność) oraz modyfikować lub usuwać dane (integralność). W zależności od konfiguracji serwera bazodanowego możliwe jest również odczytanie wrażliwych danych systemowych lub danych klientów.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. W ramach działań doraźnych zaleca się ograniczenie dostępu do panelu administracyjnego wyłącznie do zaufanych adresów IP oraz wdrożenie walidacji i parametryzacji zapytań SQL po stronie aplikacji.
SourceCodester Pet Grooming Management Software w wersji 1.0
Podatność została udokumentowana przez badacza ChuckBartowski7 w repozytorium GitHub oraz zademonstrowana w formie wideo na kanale MayuriK. Publiczny opis techniczny jest dostępny w referencjach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:LMayurik Pet Grooming Management Software
APPMayurik1.0
Powiązane podatności
A path traversal vulnerability was identified in SourceCodester Pet Grooming Management System 1.0, affecting ...
The change password functionality at /pet_grooming/admin/change_pass.php in SourceCodester Pet Grooming Manage...
SourceCodester Pet Grooming Management Software 1.0 is vulnerable to Cross Site Scripting (XSS) in /admin/prof...
SourceCodester Pet Grooming Management Software 1.0 is vulnerable to Cross Site Scripting (XSS) via the Custom...
A vulnerability has been found in SourceCodester Pet Grooming Management Software 1.0. Affected by this issue ...