CVE-2018-25410

Nome do Software Vulnerável e Versões Afetadas SIM-PKH versão 2.4.1

Description Atacantes autenticados podem executar consultas SQL arbitrárias injetando código malicioso através do parâmetro id. Isso é feito enviando requisições GET para o endpoint '/admin/media.php' com o parâmetro module definido como 'pengurus' e o parâmetro act definido como 'editpengurus'. O uso de instruções SQL UNION permite a extração de informações do banco de dados, incluindo nomes de usuário, nomes de bancos de dados e detalhes da versão.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.