PT-2024-17147 · Unknown · Code-Projects Simple Car Rental System
Silen
·
Publicado
2024-11-23
·
Atualizado
2024-11-25
·
CVE-2024-11632
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
code-projects Simple Car Rental System versão 1.0
Descrição
Foi encontrada uma falha crítica no code-projects Simple Car Rental System. O problema está relacionado a uma função desconhecida do arquivo /book car.php, onde a manipulação dos argumentos
fname, id no, gender, email, phone e location pode levar a injeção de SQL. Essa falha pode ser explorada remotamente. O aviso inicial mencionava o parâmetro fname como afetado, mas análises posteriores sugerem que outros argumentos também podem estar vulneráveis.Recomendações
Para o code-projects Simple Car Rental System versão 1.0, considere desativar o arquivo /book car.php ou restringir o acesso a ele até que uma correção esteja disponível. Como solução temporária, evite usar os parâmetros
fname, id no, gender, email, phone e location no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Special Elements Injection
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Code-Projects Simple Car Rental System