CVE-2018-25342

Nome do Software Vulnerável e Versões Afetadas Smartshop versão 1

Descrição Um problema permite que atacantes não autenticados manipulem consultas ao banco de dados injetando código SQL. Isso é feito enviando requisições GET contendo payloads SQL maliciosos, como comandos SLEEP, através do parâmetro searched no endpoint 'search.php'. Esta injeção de SQL cega baseada em tempo—uma técnica que depende da pausa na resposta do banco de dados para confirmar a presença de dados—pode ser usada para extrair informações sensíveis, incluindo dados do sistema e detalhes de produtos.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.