PT-2020-18396 · Phpgurukul · Phpgurukul Dairy Farm Shop Management System
Cinzinga
·
Publicado
2020-01-07
·
Atualizado
2023-11-14
·
CVE-2020-5307
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Sistema de Gestão de Loja da Fazenda Leiteira PHPGurukul, versão 1.0
Descrição
A vulnerabilidade afeta o Sistema de Gestão de Loja da Fazenda Leiteira PHPGurukul, onde é possível a injeção de SQL. Isso é demonstrado por meio de vários parâmetros em diferentes arquivos PHP, incluindo o parâmetro
username em “index.php”, os parâmetros category e CategoryCode em “add-category.php”, o parâmetro CompanyName em “add-company.php” e os parâmetros ProductName e ProductPrice em “add-product.php”.Recomendações
Para o Sistema de Gerenciamento de Loja da Fazenda Leiteira PHPGurukul versão 1.0, considere restringir o acesso aos parâmetros vulneráveis
username, category, CategoryCode, CompanyName, ProductName e ProductPrice em seus respectivos arquivos PHP até que uma correção esteja disponível. Como solução temporária, evite usar esses parâmetros nos pontos de extremidade da API afetados, como aqueles em “index.php”, “add-category.php”, “add-company.php” e “add-product.php”. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esse problema.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Phpgurukul Dairy Farm Shop Management System