CVE-2021-47928

Nome do Software Vulnerável e Versões Afetadas Opencart TMD Vendor System versões 3.x

Descrição Uma injeção de SQL cega (blind SQL injection) permite que atacantes não autenticados extraiam informações do banco de dados. Ao injetar código SQL através do parâmetro product id, atacantes podem usar técnicas de injeção cega baseadas em tempo ou conteúdo para enumerar nomes de usuário, e-mails e códigos de redefinição de senha da tabela oc user. Blind SQL injection é uma técnica na qual o atacante faz perguntas de verdadeiro/falso ao banco de dados e determina a resposta com base na resposta da aplicação ou no tempo que ela leva para responder.

Recomendações Atualize o Opencart TMD Vendor System versões 3.x para a versão corrigida. Como medida paliativa temporária, restrinja ou sanitize a entrada do parâmetro product id para minimizar o risco de exploração.