PT-2026-5280 · Timeclock · Time Clock
François Bibeau
·
Publicado
2026-01-29
·
Atualizado
2026-01-29
·
CVE-2020-37005
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N |
Name of the Vulnerable Software and Affected Versions
TimeClock Software versão 1.01
Description
Uma injeção de SQL baseada em tempo autenticada permite que atacantes enumerem nomes de usuário válidos manipulando o parâmetro
notes. Isso é feito injetando atrasos de tempo condicionais no endpoint 'add entry.php' e medindo as diferenças no tempo de resposta para determinar se um usuário existe.Recommendations
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Time Clock