CRITICAL🇬🇧 English

CVE-2024-24101

SQL Injection w Code-Projects Scholars Tracking System 1.0

CVSS 9.8v3.1pub. 2024-03-12upd. 2025-03-13

Code-Projects Scholars Tracking System 1.0 zawiera krytyczną podatność typu SQL Injection w module aktualizacji informacji o uprawnieniach (Eligibility Information Update). Możliwość wykonania nieautoryzowanych zapytań SQL stwarza poważne ryzyko dla poufności, integralności i dostępności danych.

Pokaż oryginał (EN)

Code-projects Scholars Tracking System 1.0 is vulnerable to SQL Injection under Eligibility Information Update.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniego walidowania i sanityzacji danych wejściowych przekazywanych do zapytań bazodanowych w sekcji aktualizacji informacji o uprawnieniach. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio do parametrów zapytania, manipulując w ten sposób logiką bazy danych. Ze względu na wektor sieciowy (AV:N) oraz brak wymogu uwierzytelnienia (PR:N) i interakcji użytkownika (UI:N), atak może być przeprowadzony zdalnie przez nieuprawnioną osobę.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie, modyfikować lub usuwać dane, a w sprzyjających warunkach przejąć kontrolę nad serwerem bazy danych, co obejmuje pełne naruszenie poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie parametryzowanych zapytań SQL (prepared statements) oraz walidacji danych wejściowych po stronie serwera. Do czasu zastosowania poprawki należy rozważyć ograniczenie dostępu do podatnego modułu na poziomie firewall lub serwera aplikacji.

Kogo dotyczy

Code-Projects Scholars Tracking System w wersji 1.0

Uwagi

Publiczny opis podatności wraz z dowodem koncepcji (proof-of-concept) dostępny jest w repozytorium GitHub użytkownika ASR511-OO7 pod adresem wskazanym w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Code Projects Scholars Tracking System

    APP
    Code-Projects
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2024-24093CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Code-Projects Scholars Tracking System 1.0

CVE-2024-24092HIGH7.8ten sam produkt

SQL Injection vulnerability in Code-projects.org Scholars Tracking System 1.0 allows attackers to run arbitrar...

CVE-2024-24097MEDIUM5.4ten sam produkt

Cross Site Scripting (XSS) vulnerability in Code-projects Scholars Tracking System 1.0 allows attackers to run...

CVE-2024-24099MEDIUM5.4ten sam produkt

Code-projects Scholars Tracking System 1.0 is vulnerable to SQL Injection under Employment Status Information ...

CVE-2025-60306CRITICAL9.9PL ✓ten sam vendor

Auth Bypass w Simple Car Rental System — przejęcie sesji wysokich uprawnień