CVE-2019-25580

Name of the Vulnerable Software and Affected Versions ownDMS versão 4.7

Description Uma injeção de SQL permite que atacantes não autenticados executem consultas SQL arbitrárias ao injetar código malicioso através do parâmetro IMG. Isso é feito enviando solicitações GET para os endpoints 'pdfstream.php', 'imagestream.php' ou 'anyfilestream.php' com payloads manipulados no parâmetro IMG para extrair informações sensíveis do banco de dados, como a versão e os nomes do banco de dados.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso aos endpoints 'pdfstream.php', 'imagestream.php' e 'anyfilestream.php' ou evite o uso do parâmetro IMG nesses endpoints.