CRITICAL🇬🇧 English

CVE-2024-31547

SQL Injection w Computer Laboratory Management System v1.0

CVSS 9.1v3.1pub. 2024-04-19upd. 2025-04-14

Computer Laboratory Management System v1.0 zawiera krytyczną podatność SQL Injection w parametrze 'id' endpointu /admin/item/view_item.php. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne manipulowanie bazą danych aplikacji.

Pokaż oryginał (EN)

Computer Laboratory Management System v1.0 is vulnerable to SQL Injection via the "id" parameter of /admin/item/view_item.php.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych w parametrze 'id' żądania HTTP do pliku /admin/item/view_item.php. Atakujący może wstrzyknąć złośliwe zapytania SQL bezpośrednio do parametru URL, które są następnie wykonywane przez serwer bazy danych bez odpowiedniego filtrowania. Brak wymogu uwierzytelnienia (PR:N) i interakcji użytkownika (UI:N) sprawia, że atak może być przeprowadzony zdalnie przez sieć przez dowolną osobę.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w bazie danych (wysoka poufność) oraz modyfikować lub usuwać dane w bazie danych aplikacji (wysoka integralność).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie parametryzowanych zapytań SQL (prepared statements) oraz walidacji danych wejściowych po stronie serwera. Rekomenduje się ograniczenie dostępu do panelu administracyjnego wyłącznie do zaufanych adresów IP.

Kogo dotyczy

Computer Laboratory Management System v1.0 autorstwa Oretnom23

Uwagi

Dostępny publiczny Proof of Concept (PoC) opublikowany przez badacza emirhanmtl w repozytorium GitHub: https://github.com/emirhanmtl/vuln-research/blob/main/SQLi-3-Computer-Laboratory-Management-System-PoC.md

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Oretnom23 Computer Laboratory Management System

    APP
    Oretnom23
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2024-34479CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Computer Laboratory Management System

CVE-2024-34480CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Computer Laboratory Management System 1.0

CVE-2024-31545CRITICAL9.4PL ✓ten sam produkt

SQL Injection w Computer Laboratory Management System v1.0 (parametr 'id')

CVE-2024-31546CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Computer Laboratory Management System v1.0 — parametr 'id'

CVE-2025-45956HIGH8.8ten sam produkt

A SQL injection vulnerability in manage_damage.php in Sourcecodester Computer Laboratory Management System v1....