PT-2024-17865 · Unknown · 1000 Projects Attendance Tracking Management System
Hacker0Xone
·
Publicado
2024-12-29
·
Atualizado
2024-12-29
·
CVE-2024-13005
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Sistema de gerenciamento de controle de frequência 1000 Projects, versão 1.0
Descrição
Foi identificada uma falha crítica no Sistema de gerenciamento de controle de frequência 1000 Projects. Essa falha afeta o arquivo /admin/attendance action.php e está relacionada à manipulação do argumento
attendance id, o que leva a uma injeção de SQL. O ataque pode ser iniciado remotamente. A vulnerabilidade já foi divulgada ao público e pode estar sendo explorada.Recomendações
Para a versão 1.0, considere desativar o arquivo /admin/attendance action.php ou restringir o acesso a ele até que um patch esteja disponível. Como solução temporária, evite usar o argumento
attendance id no arquivo afetado para minimizar o risco de exploração.Exploit
Correção
Special Elements Injection
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
1000 Projects Attendance Tracking Management System