ГлавнаяБаза уязвимостей БДУ → BDU:2024-00226
10критическая

BDU:2024-00226

Уязвимость сценария password-recovery.php программного средства управления тестированием на вирус Нипах PHPGurukul Nipah Virus Testing Management System, позволяющая нарушителю выполнять произвольные SQL-запросы к базе данных
Опубликовано: 2024-01-12
Описание

Уязвимость сценария password-recovery.php программного средства управления тестированием на вирус Нипах PHPGurukul Nipah Virus Testing Management System связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные SQL-запросы к базе данных

Затрагиваемое ПО и версии
PHPGurukul Nipah Virus Testing Management System (1.0)
Способ устранения

Компенсирующие меры:
- использование параметризованных запросов (PHP для этого можно использовать PDO (PHP Data Objects) или MySQLi (MySQL Improved));
- использование хранимых процедур (хранимые процедуры могут помочь предотвратить внедрение SQL, инкапсулируя SQL-код и позволяя базе данных выполнять только хранимую процедуру).

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/dhabaleshwar/niv_testing_sqliforgotpassword/blob/main/exploit.mdhttps://vuldb.com/?ctiid.247341https://vuldb.com/?id.247341
Проверьте безопасность своего сайта и почты → Полная проверка домена