PT-2020-20559 · Phpmychat · Phpmychat Plus
J3Rrybl4Nks
·
Publicado
2020-02-18
·
Atualizado
2020-02-27
·
CVE-2020-9265
CVSS v3.1
9.3
Crítica
| Vetor | AC:L/AV:N/A:L/C:H/I:N/PR:N/S:C/UI:N |
Nome do software vulnerável e versões afetadas
phpMyChat-Plus versão 1.98
Descrição
O problema diz respeito a múltiplas injeções SQL contra a funcionalidade “Delete User” no arquivo deluser.php, conforme demonstrado pela variável
pmc username.Recomendações
Para o phpMyChat-Plus versão 1.98, considere desativar a funcionalidade “Delete User” no arquivo deluser.php até que um patch esteja disponível para prevenir possíveis ataques de injeção SQL. Restrinja o acesso ao arquivo deluser.php para minimizar o risco de exploração. Evite usar a variável
pmc username na funcionalidade afetada até que o problema seja resolvido.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Phpmychat Plus