PT-2022-14409 · Sourcecodester · Sourcecodester Prison Management System
Webraybtl
·
Publicado
2022-06-07
·
Atualizado
2022-06-15
·
CVE-2022-2018
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Sistema de Gestão Penitenciária SourceCodester, versão 1.0
Descrição
Foi identificada uma vulnerabilidade crítica no Sistema de Gestão Penitenciária SourceCodester. O problema está relacionado à manipulação do argumento
id no endpoint /admin/?page=inmates/view inmate do componente Inmate Handler. Ao fornecer uma entrada específica, 1%27%20and%201=2%20union%20select%201,user(),3,4,5,6,7,8,9,0,database(),2,3,4,5,6,7,8,9,0,1,2,3,4--+, isso leva a uma injeção de SQL. Esta vulnerabilidade pode ser explorada remotamente.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Como solução temporária, considere restringir o acesso ao endpoint
/admin/?page=inmates/view inmate para minimizar o risco de exploração. Evite usar o argumento id no endpoint afetado até que o problema seja resolvido.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sourcecodester Prison Management System