PT-2022-22448 · Sourcecodester · Sourcecodester Simple Online Public Access Catalog

Vijayreddy

·

Publicado

2022-10-14

·

Atualizado

2022-10-15

·

CVE-2022-3495

CVSS v3.1

7.3

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Nome do software vulnerável e versões afetadas
SourceCodester Simple Online Public Access Catalog versão 1.0
Descrição
Foi detectada uma falha crítica que afeta o componente de login de administrador, especificamente o endpoint /opac/Actions.php?a=login. A manipulação dos argumentos username e password leva a uma injeção de SQL. Essa falha pode ser explorada remotamente.
Recomendações
Para o SourceCodester Simple Online Public Access Catalog versão 1.0, considere desativar a funcionalidade de login de administrador até que uma correção esteja disponível. Restrinja o acesso ao endpoint /opac/Actions.php?a=login para minimizar o risco de exploração. Evite usar os argumentos username e password neste endpoint até que a vulnerabilidade seja resolvida.

Exploit

Correção

Improper Neutralization

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-707CWE-89

Identificadores relacionados

CVE-2022-3495

Produtos afetados

Sourcecodester Simple Online Public Access Catalog