CRITICAL🇬🇧 English

CVE-2024-24112

SQL Injection w Exrick XMall przez parametr orderDir

CVSS 9.8v3.1pub. 2024-02-06upd. 2025-05-08

W aplikacji XMall w wersji 1.1 odkryto podatność typu SQL injection w parametrze orderDir. Umożliwia ona zdalnemu, nieuwierzytelnionemu atakującemu manipulację bazą danych, co stanowi krytyczne zagrożenie dla bezpieczeństwa systemu.

Pokaż oryginał (EN)

xmall v1.1 was discovered to contain a SQL injection vulnerability via the orderDir parameter.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych przez parametr orderDir. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio do zapytania kierowanego do bazy danych. Atak nie wymaga uwierzytelnienia ani żadnej interakcji ze strony użytkownika, a wektor sieciowy sprawia, że jest możliwy do przeprowadzenia zdalnie.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w bazie danych, modyfikować lub usuwać jej zawartość, a w określonych konfiguracjach potencjalnie przejąć kontrolę nad serwerem bazodanowym.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również wdrożenie parametryzowanych zapytań SQL (prepared statements) oraz dodatkowej walidacji danych wejściowych po stronie serwera.

Kogo dotyczy

Exrick XMall w wersji 1.1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Exrick Xmall

    APP
    Exrick
    1.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-45612CRITICAL9.8PL ✓ten sam produkt

Obejście uwierzytelnienia w Exrick Xmall v1.1 poprzez crafted GET request

CVE-2025-28399CRITICAL9.8PL ✓ten sam produkt

Eskalacja uprawnień w Exrick Xmall przez metodę updateAddress

CVE-2023-36331HIGH8.2ten sam produkt

Incorrect access control in the /member/orderList API of xmall v1.1 allows attackers to arbitrarily access oth...

CVE-2025-65540MEDIUM6.1ten sam produkt

Multiple Cross-Site Scripting (XSS) vulnerabilities exist in xmall v1.1 due to improper handling of user-suppl...

CVE-2021-43432MEDIUM6.1ten sam produkt

A Cross Site Scripting (XSS) vulnerability exists in Exrick XMall Admin Panel as of 11/7/2021 via the GET para...