PT-2021-23310 · Sourcecodester · Sourcecodester Simple Cashiering System
Nu11Secur1Ty
·
Publicado
2021-11-03
·
Atualizado
2021-12-15
·
CVE-2021-41492
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Sourcecodester Simple Cashiering System (POS), versão 1.0
Descrição
Existem várias vulnerabilidades de injeção de SQL no sistema. Essas vulnerabilidades foram encontradas em três áreas:
(1) o código do produto na página pos do sistema de caixa,
(2) o parâmetro
id em manage products e(3) o parâmetro
t em actions.php.Recomendações
Para a versão 1.0, considere desativar o parâmetro
id em manage products e restringir o acesso ao parâmetro t em actions.php até que uma correção esteja disponível.Como solução temporária, evite usar o Código do produto na página pos do caixa.
Restrinja o acesso a actions.php para minimizar o risco de exploração.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sourcecodester Simple Cashiering System