PT-2021-10118 · Unknown · Phpshe Mall System

Si1Ence

Publicado

2021-04-28

Atualizado

2021-05-05

CVE-2020-18020

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

**Nome do software vulnerável e versões afetadas:

PHPSHE Mall System versão 1.7

Descrição:

A vulnerabilidade permite que invasores remotos executem código arbitrário ao injetar comandos SQL no parâmetro user phone de uma solicitação HTTP maliciosa direcionada ao componente “admin.php”. Isso permite que os invasores manipulem o banco de dados e, potencialmente, obtenham acesso não autorizado.

Recomendações:

Para o PHPSHE Mall System versão 1.7, considere restringir o acesso ao componente “admin.php” e evite usar o parâmetro user phone em solicitações HTTP maliciosas até que uma correção esteja disponível. Como solução temporária, restrinja a entrada permitida para o parâmetro user phone para minimizar o risco de exploração.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2020-18020

Produtos afetados

Phpshe Mall System

PT-2021-10118 · Unknown · Phpshe Mall System

CVE-2020-18020

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 4