CVE-2020-11004

Versões do Admidio anteriores à 3.3.13

O problema está relacionado à neutralização incorreta de elementos especiais usados em comandos SQL, permitindo a injeção de SQL. Isso pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas usando consultas SQL especialmente criadas. A vulnerabilidade afeta a confidencialidade do sistema. Um invasor pode enviar uma solicitação GET com consultas SQL arbitrárias anexadas ao parâmetro main cookie e executar consultas SQL sem fazer login.

Para versões anteriores à 3.3.13, atualize para a versão 3.3.13 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de consultas SQL para minimizar o risco de exploração. Evite usar o parâmetro main cookie em consultas SQL até que o problema seja resolvido.