W systemie Emlog przed wersją 2.6.11 wykryto podatność SQL injection w funkcjach tworzenia i aktualizacji artykułów, umożliwiającą atakującemu wykonanie dowolnych poleceń SQL. Ze względu na brak wymagań uwierzytelnienia i pełny wpływ na bazę danych, podatność oceniono jako krytyczną z maksymalnym wynikiem CVSS 10.0.
▸ Pokaż oryginał (EN)
Emlog is an open source website building system. Prior to version 2.6.11, direct SQL injection in article creation and update functions allows attackers to execute arbitrary SQL commands, potentially leading to complete database compromise, data theft, or system destruction. This issue has been patched in version 2.6.11.
Podatność polega na bezpośrednim wstrzykiwaniu poleceń SQL (SQL injection, CWE-89) poprzez dane wejściowe przekazywane do funkcji tworzenia i aktualizacji artykułów w systemie Emlog. Atakujący może spreparować złośliwe zapytanie, które zostanie wykonane bezpośrednio przez silnik bazy danych bez odpowiedniej walidacji lub parametryzacji danych wejściowych. Atak jest możliwy zdalnie, bez uwierzytelnienia i bez jakiejkolwiek interakcji ze strony użytkownika.
Atakujący może uzyskać pełną kontrolę nad bazą danych — odczytywać, modyfikować lub usuwać przechowywane dane, co może prowadzić do kradzieży danych, zniszczenia systemu lub całkowitego naruszenia integralności serwisu.
Należy niezwłocznie zaktualizować Emlog do wersji 2.6.11 lub nowszej, w której podatność została załatana. Szczegóły dostępne w referencjach producenta: https://github.com/emlog/emlog/security/advisories/GHSA-xxj8-fc63-j3gw
Emlog w wersjach przed 2.6.11 (open source system do budowy stron internetowych).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X