CVE-2024-37906

Versões do Admidio anteriores à 4.3.9

O problema está relacionado a uma injeção de SQL no arquivo-fonte /adm program/modules/ecards/ecard send.php do aplicativo Admidio. Essa injeção de SQL resulta no comprometimento do banco de dados do aplicativo. O valor do parâmetro POST ecard recipients está sendo concatenado diretamente com a consulta SQL no código-fonte, causando a injeção SQL. A injeção SQL pode ser explorada por um usuário membro, utilizando cargas de injeção SQL baseadas em condições cegas, baseadas em tempo e de interação fora da banda. Um invasor poderia potencialmente acessar dados confidenciais, modificar, excluir ou adicionar dados ao banco de dados e, possivelmente, executar código remotamente.

Para versões anteriores à 4.3.9, atualize para a versão 4.3.9 para corrigir a vulnerabilidade de injeção de SQL.

Como solução alternativa temporária, considere usar consultas parametrizadas ou instruções preparadas em vez de concatenar a entrada do usuário diretamente nas consultas SQL, ou sanitize a entrada antes de incluí-la na consulta SQL.

Restrinja o acesso ao endpoint /adm program/modules/ecards/ecard send.php para minimizar o risco de exploração.

Evite usar o parâmetro ecard recipients no endpoint da API afetado até que o problema seja resolvido.