PT-2021-23366 · Unknown · Kaushik Jadhav Online Food Ordering Web App
Jason Colyvas
·
Publicado
2021-10-01
·
Atualizado
2021-10-08
·
CVE-2021-41647
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Aplicativo web para pedidos online de comida Kaushik Jadhav, versão 1.0
Descrição
Existe uma vulnerabilidade de injeção SQL cega, baseada em erros e tempo, que não requer autenticação. Um invasor pode explorar o parâmetro vulnerável
username no arquivo “login.php” e obter informações confidenciais do banco de dados, bem como adicionar um usuário administrativo.Recomendações
Para o aplicativo web Kaushik Jadhav Online Food Ordering versão 1.0, considere desativar o parâmetro
username no arquivo “login.php” até que uma correção esteja disponível. Restrinja o acesso ao arquivo “login.php” para minimizar o risco de exploração. Evite usar o parâmetro username no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kaushik Jadhav Online Food Ordering Web App