PT-2024-33062 · Unknown · Simple Php Shopping Cart
Rafael Pedrero
·
Publicado
2024-05-16
·
Atualizado
2024-05-16
·
CVE-2024-4826
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Simple PHP Shopping Cart versão 0.9
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de SQL que poderia permitir que um invasor recuperasse todas as informações armazenadas no banco de dados ao enviar uma consulta SQL especialmente criada. Isso se deve à falta de sanitização adequada do parâmetro
category id no arquivo category.php.Recomendações
Para a versão 0.9, considere desativar o parâmetro
category id no arquivo category.php até que um patch esteja disponível. Restrinja o acesso ao arquivo category.php para minimizar o risco de exploração. Evite usar o parâmetro category id no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Simple Php Shopping Cart