CRITICAL🇬🇧 English

CVE-2024-34479

SQL Injection w SourceCodester Computer Laboratory Management System

CVSS 9.8v3.1pub. 2024-08-07upd. 2024-08-08

SourceCodester Computer Laboratory Management System 1.0 zawiera krytyczną podatność SQL Injection w pliku classes/Master.php poprzez parametr id. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne przejęcie kontroli nad bazą danych aplikacji.

Pokaż oryginał (EN)

SourceCodester Computer Laboratory Management System 1.0 allows classes/Master.php id SQL Injection.

🤖 Analiza AI
Jak działa

Podatność polega na braku odpowiedniej walidacji i parametryzacji danych wejściowych przekazywanych przez parametr id do pliku classes/Master.php. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio do zapytania wykonywanego na bazie danych. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika, a wektor sieciowy (AV:N) oznacza, że można go przeprowadzić zdalnie przez sieć.

Skutki

Atakujący może uzyskać pełny dostęp do bazy danych aplikacji — w tym odczyt, modyfikację i usunięcie danych — co może prowadzić do naruszenia poufności, integralności oraz dostępności systemu. W określonych konfiguracjach możliwe jest również wykonanie poleceń systemowych na serwerze.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również wdrożenie parametryzowanych zapytań SQL (prepared statements) w kodzie aplikacji oraz ograniczenie dostępu do systemu wyłącznie do zaufanych sieci lub zastosowanie firewall na poziomie aplikacji (WAF).

Kogo dotyczy

SourceCodester Computer Laboratory Management System w wersji 1.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Oretnom23 Computer Laboratory Management System

    APP
    Oretnom23
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2024-34480CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Computer Laboratory Management System 1.0

CVE-2024-31545CRITICAL9.4PL ✓ten sam produkt

SQL Injection w Computer Laboratory Management System v1.0 (parametr 'id')

CVE-2024-31547CRITICAL9.1PL ✓ten sam produkt

SQL Injection w Computer Laboratory Management System v1.0

CVE-2024-31546CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Computer Laboratory Management System v1.0 — parametr 'id'

CVE-2025-45956HIGH8.8ten sam produkt

A SQL injection vulnerability in manage_damage.php in Sourcecodester Computer Laboratory Management System v1....