CVE-2021-47980

Nome do Software Vulnerável e Versões Afetadas Fuel CMS versão 1.4.13

Descrição Atacantes autenticados podem manipular consultas ao banco de dados injetando código SQL por meio do parâmetro col na interface do Log de Atividades. Ao enviar solicitações para o endpoint 'logs' com cargas úteis de SQL maliciosas no parâmetro col, os atacantes podem extrair informações do banco de dados usando injeção de SQL cega (blind SQL injection), que é uma técnica que determina dados observando os atrasos de tempo nas respostas do servidor.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.