CRITICAL🇬🇧 English

CVE-2024-34955

SQL Injection w Code-Projects Budget Management via parametr delete

CVSS 9.8v3.1pub. 2024-05-15upd. 2025-04-04

Aplikacja Code-Projects Budget Management 1.0 zawiera podatność typu SQL Injection w parametrze delete, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań SQL. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co czyni ją ekstremalnie niebezpieczną.

Pokaż oryginał (EN)

Code-projects Budget Management 1.0 is vulnerable to SQL Injection via the delete parameter.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie HTTP zawierające złośliwy payload SQL w parametrze delete, który jest przekazywany bezpośrednio do zapytania bazodanowego bez odpowiedniej walidacji lub parametryzacji. Brak sanityzacji danych wejściowych pozwala na wstrzyknięcie dowolnych instrukcji SQL, które zostaną wykonane przez silnik bazy danych. Atak nie wymaga uwierzytelnienia, interakcji użytkownika ani szczególnych uprawnień, a wektor sieciowy sprawia, że można go przeprowadzić zdalnie.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w bazie danych, modyfikować lub usuwać dane, a w sprzyjających konfiguracjach potencjalnie przejąć kontrolę nad serwerem bazodanowym. Podatność zagraża poufności, integralności oraz dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środki łagodzące zaleca się wdrożenie parametryzowanych zapytań SQL (prepared statements), walidacji i sanityzacji danych wejściowych po stronie serwera oraz ograniczenie dostępu do aplikacji na poziomie firewall do zaufanych źródeł.

Kogo dotyczy

Code-Projects Budget Management w wersji 1.0

Uwagi

Szczegóły techniczne podatności oraz proof-of-concept zostały opublikowane przez badacza ethicalhackerNL w repozytorium GitHub. Podatność opublikowano 2024-05-15.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Code Projects Budget Management

    APP
    Code-Projects
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2024-5048MEDIUM5.3ten sam produkt

A vulnerability classified as critical was found in code-projects Budget Management 1.0. Affected by this vuln...

CVE-2024-34954MEDIUM6.1ten sam produkt

Code-projects Budget Management 1.0 is vulnerable to Cross Site Scripting (XSS) via the budget parameter.

CVE-2025-60306CRITICAL9.9PL ✓ten sam vendor

Auth Bypass w Simple Car Rental System — przejęcie sesji wysokich uprawnień

CVE-2023-41505CRITICAL9.8PL ✓ten sam vendor

Arbitrary file upload umożliwiający RCE w Student Enrollment In PHP

CVE-2024-24093CRITICAL9.8PL ✓ten sam vendor

SQL Injection w Code-Projects Scholars Tracking System 1.0

CVE-2024-34955 — SQL Injection w Code-Projects Budget Management via parametr delete — CRITICAL 9.8 | CVEbaza.pl