PT-2022-11336 · Sourcecodester · Sourcecodester Purchase Order Management System
Nu11Secur1Ty
·
Publicado
2022-01-24
·
Atualizado
2022-01-28
·
CVE-2021-40908
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Sistema de Gerenciamento de Ordens de Compra Sourcecodester, versão v1
Descrição
A vulnerabilidade permite que invasores executem comandos SQL arbitrários por meio do parâmetro
username no arquivo Login.php. Isso permite que invasores manipulem o banco de dados, podendo levar a acesso não autorizado ou modificação de dados.Recomendações
Para o Sistema de Gerenciamento de Pedidos de Compra Sourcecodester versão v1, considere restringir o acesso ao arquivo Login.php até que uma correção esteja disponível e evite usar o parâmetro
username de forma que possa permitir ataques de injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sourcecodester Purchase Order Management System