CRITICAL🇬🇧 English

CVE-2023-49363

SQL Injection w Rockoa — metoda indexAction w reimpAction.php

CVSS 9.8v3.1pub. 2023-12-13upd. 2024-11-21

Rockoa w wersjach poniżej 2.3.3 zawiera krytyczną podatność SQL Injection w metodzie indexAction pliku reimpAction.php. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań do bazy danych.

Pokaż oryginał (EN)

Rockoa <2.3.3 is vulnerable to SQL Injection. The problem exists in the indexAction method in reimpAction.php.

🤖 Analiza AI
Jak działa

Podatność typu SQL Injection (CWE-89) wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych do metody indexAction w pliku reimpAction.php. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio do zapytań wykonywanych przez aplikację. Wektor ataku jest sieciowy, nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika, co czyni eksploatację szczególnie prostą.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych, modyfikować lub usuwać dane, a w zależności od konfiguracji serwera bazy danych potencjalnie przejąć kontrolę nad systemem (pełna triada CIA: poufność, integralność, dostępność zagrożone na poziomie HIGH).

Mitygacja

Należy zaktualizować Rockoa do wersji 2.3.3 lub nowszej. W przypadku braku możliwości natychmiastowej aktualizacji zaleca się ograniczenie dostępu sieciowego do aplikacji oraz monitorowanie ruchu pod kątem prób wstrzykiwania SQL.

Kogo dotyczy

Rockoa w wersjach poniżej 2.3.3

Uwagi

Szczegóły techniczne i materiały potwierdzające podatność zostały opublikowane w repozytorium GitHub przez użytkownika wednesdaygogo.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Rockoa

    APP
    Rockoa
    < 2.3.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-63742CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Xinhu RockOA – wyciek danych administratora

CVE-2020-18714CRITICAL9.8ten sam produkt

SQL Injection in Rockoa v1.8.7 allows remote attackers to gain privileges due to loose filtering of parameters...

CVE-2020-18716CRITICAL9.8ten sam produkt

SQL Injection in Rockoa v1.8.7 allows remote attackers to gain privileges due to loose filtering of parameters...

CVE-2020-18713CRITICAL9.8ten sam produkt

SQL Injection in Rockoa v1.8.7 allows remote attackers to gain privileges due to loose filtering of parameters...

CVE-2020-20593HIGH8.0ten sam produkt

A cross-site request forgery (CSRF) in Rockoa v1.9.8 allows an authenticated attacker to arbitrarily add an ad...