CVE-2018-25405

Nome do Software Vulnerável e Versões Afetadas eNdonesia Portal versão 8.7

Description Múltiplas falhas de injeção de SQL permitem que atacantes não autenticados executem consultas SQL arbitrárias ao injetar código malicioso por meio do endpoint 'mod.php'. Especificamente, os parâmetros artid, cid, did, contid e aboutid são suscetíveis, permitindo a extração de informações confidenciais do banco de dados, como nomes de usuários, nomes de bancos de dados e detalhes da versão.

Recommendations Atualize o eNdonesia Portal versão 8.7 para uma versão mais recente que contenha a correção para este problema. Como alternativa temporária, restrinja o acesso ao endpoint 'mod.php' ou sanitize os parâmetros artid, cid, did, contid e aboutid para minimizar o risco de exploração.