CRITICAL🇬🇧 English

CVE-2023-5634

SQL Injection w ArslanSoft Education Portal — krytyczna podatność

CVSS 9.8v3.1pub. 2023-12-01upd. 2026-05-21

ArslanSoft Education Portal w wersjach przed v1.1 zawiera krytyczną podatność typu SQL Injection umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań SQL. Wysoki wynik CVSS 9.8 wskazuje na brak jakichkolwiek barier dostępu — exploit jest możliwy zdalnie, bez uwierzytelnienia i bez interakcji użytkownika.

Pokaż oryginał (EN)

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in ArslanSoft Education Portal allows SQL Injection. This issue affects Education Portal: before v1.1.

🤖 Analiza AI
Jak działa

Aplikacja nie neutralizuje prawidłowo znaków specjalnych przekazywanych przez użytkownika przed ich użyciem w zapytaniach SQL (CWE-89). Atakujący może wstrzyknąć własny kod SQL do parametrów wejściowych portalu, manipulując logiką zapytań kierowanych do bazy danych. Podatność jest dostępna sieciowo bez konieczności posiadania konta ani żadnej interakcji ze strony ofiary.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych (poufność), modyfikować lub usuwać dane (integralność) oraz potencjalnie doprowadzić do niedostępności systemu (dostępność). W skrajnych przypadkach możliwe jest przejęcie pełnej kontroli nad bazą danych i zawartymi w niej danymi użytkowników.

Mitygacja

Należy niezwłocznie zaktualizować ArslanSoft Education Portal do wersji v1.1 lub nowszej. Szczegółowe informacje dostępne są w referencjach producenta oraz komunikacie bezpieczeństwa USOM (TR-23-0670).

Kogo dotyczy

ArslanSoft Education Portal we wszystkich wersjach przed v1.1

Uwagi

Podatność została zgłoszona przez turecką instytucję USOM (Ulusal Siber Olaylara Müdahale Merkezi) pod identyfikatorem TR-23-0670.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Arslansoft Education Portal Project Arslansoft Education Portal

    APP
    Arslansoft Education Portal Project
    < 1.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2023-5636CRITICAL9.8PL ✓ten sam produkt

Nieograniczony upload pliku umożliwiający Command Injection w ArslanSoft Education Portal

CVE-2023-5635HIGH7.5ten sam produkt

Improper Protection for Outbound Error Messages and Alert Signals vulnerability in ArslanSoft Education Portal...

CVE-2023-5637HIGH7.5ten sam produkt

Unrestricted Upload of File with Dangerous Type vulnerability in ArslanSoft Education Portal allows Read Sensi...