CVE-2020-37004

Name of the Vulnerable Software and Affected Versions Ultimate Project Manager CRM PRO versão 2.0.5

Description Uma injeção SQL cega permite que atacantes extraiam nomes de usuário e hashes de senhas da tabela de banco de dados tbl users. Isso é feito através da criação de parâmetros de busca maliciosos no endpoint '/frontend/get article suggestion/' para recuperar credenciais de usuário usando técnicas de inferência baseadas em booleanos, nas quais o atacante determina os dados observando se a aplicação retorna uma resposta verdadeira ou falsa.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.