PT-2025-21341 · Unknown · Campcodes Sales/Inventory System

Lanxia

·

Publicado

2025-05-15

·

Atualizado

2025-05-28

·

CVE-2025-4707

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas: Sistema de Vendas e Inventário Campcodes versão 1.0
Descrição: Uma questão crítica afeta o processamento do arquivo "/pages/transaction add.php". A manipulação do argumento prod name resulta em injeção de SQL. O ataque pode ser realizado remotamente.
Recomendações: Para o Sistema de Vendas e Inventário Campcodes versão 1.0, considere restringir o acesso ao arquivo "/pages/transaction add.php" até que uma correção esteja disponível. Como solução temporária, evite utilizar o argumento prod name no arquivo afetado para minimizar o risco de exploração. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Special Elements Injection

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-89

Identificadores relacionados

CVE-2025-4707

Produtos afetados

Campcodes Sales/Inventory System