CVE-2021-25209

SourceCodester Theme Park Ticketing System versão 1.0

A vulnerabilidade permite que invasores remotos executem instruções SQL arbitrárias por meio do parâmetro id na página “view user.php”. Isso se deve à falta de proteção contra a exploração da estrutura de consultas SQL. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Os detalhes técnicos sobre a exploração incluem o uso do parâmetro id no endpoint “view user.php”.

Para o SourceCodester Theme Park Ticketing System versão 1.0, considere desativar o parâmetro id no endpoint “view user.php” até que uma correção esteja disponível. Restrinja o acesso ao script “view user.php” para minimizar o risco de exploração. Evite usar o parâmetro id no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.