PT-2020-17133 · Unknown · Multi Restaurant Table Reservation System
Yunaranyancat
·
Publicado
2020-12-02
·
Atualizado
2020-12-04
·
CVE-2020-29284
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Multi Restaurant Table Reservation System versão 1.0
Descrição
O problema decorre da falta de validação de entrada no parâmetro
table id no arquivo view-chair-list.php, permitindo injeção de SQL não autenticada. Um invasor pode explorar essa vulnerabilidade enviando uma entrada maliciosa na solicitação GET para “/dashboard/view-chair-list.php?table id=”.Recomendações
Para o Multi Restaurant Table Reservation System versão 1.0, considere desativar o arquivo view-chair-list.php ou restringir o acesso ao endpoint “/dashboard/view-chair-list.php” até que uma correção esteja disponível. Evite usar o parâmetro
table id no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Multi Restaurant Table Reservation System