PT-2022-18694 · Unknown · Mysql Server+1
H3Thr33
·
Publicado
2022-04-19
·
Atualizado
2022-09-09
·
CVE-2022-27927
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Sistema de Gestão de Microfinanças versão 1.0
Descrição
Existe uma vulnerabilidade de injeção de SQL quando o MySQL é utilizado como banco de dados da aplicação. Um invasor pode enviar comandos SQL ao banco de dados MySQL por meio dos parâmetros vulneráveis
course code e/ou customer number.Recomendações
Para o Sistema de Gestão de Microfinanças versão 1.0, considere restringir o acesso aos parâmetros
course code e customer number para minimizar o risco de exploração. Como solução temporária, evite usar esses parâmetros em consultas SQL até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Microfinance Management System
Mysql Server