CRITICAL🇬🇧 English

CVE-2023-44755

SQL Injection w Sacco Management System przez parametr password

CVSS 9.8v3.1pub. 2025-04-22upd. 2025-06-19

W aplikacji Sacco Management System v1.0 odkryto podatność typu SQL injection w parametrze password na endpoint /sacco/ajax.php. Luka posiada ocenę CVSS 9.8 (CRITICAL) i może być wykorzystana przez nieuwierzytelnionego atakującego zdalnie, bez jakiejkolwiek interakcji użytkownika.

Pokaż oryginał (EN)

Sacco Management system v1.0 was discovered to contain a SQL injection vulnerability via the password parameter at /sacco/ajax.php.

🤖 Analiza AI
Jak działa

Aplikacja nie waliduje ani nie filtruje poprawnie danych wejściowych przekazywanych w parametrze password podczas zapytań do bazy danych. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio do zapytania wykonywanego przez endpoint /sacco/ajax.php. Pozwala to na manipulację logiką zapytań bazodanowych bez konieczności posiadania uwierzytelnienia.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych, w tym danych poufnych i uwierzytelniających, a w określonych konfiguracjach może również modyfikować lub usuwać dane oraz potencjalnie przejąć kontrolę nad systemem bazodanowym.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wprowadzenie parametryzowanych zapytań SQL (prepared statements) oraz rygorystycznej walidacji danych wejściowych po stronie serwera. Do czasu zastosowania poprawki rekomenduje się ograniczenie dostępu do endpointu /sacco/ajax.php na poziomie firewall lub WAF.

Kogo dotyczy

Mayurik Sacco Management System v1.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mayurik Sacco Management System

    APP
    Mayurik
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-60316CRITICAL9.4PL ✓ten sam vendor

SQL Injection w Pet Grooming Management Software via parametr ID

CVE-2025-1872CRITICAL9.3PL ✓ten sam vendor

SQL Injection w 101news — parametr sadminusername w panelu admina

CVE-2025-1869CRITICAL9.3PL ✓ten sam vendor

SQL Injection w 101news — podatność w parametrze 'username'

CVE-2025-1870CRITICAL9.3PL ✓ten sam vendor

SQL Injection w 101news (Mayurik Best Online News Portal) via parametr pagedescription

CVE-2025-1871CRITICAL9.3PL ✓ten sam vendor

SQL Injection w 101news – parametry category i subcategory

CVE-2023-44755 — SQL Injection w Sacco Management System przez parametr password — CRITICAL 9.8 | CVEbaza.pl