CRITICAL🇬🇧 English

CVE-2025-1871

SQL Injection w 101news – parametry category i subcategory

CVSS 9.3v4.0pub. 2025-03-03upd. 2025-03-07

W aplikacji 101news w wersji 1.0 wykryto podatność typu SQL injection w pliku admin/add-subcategory.php. Atakujący bez uwierzytelnienia może manipulować zapytaniami do bazy danych, co stanowi poważne zagrożenie dla integralności i poufności danych.

Pokaż oryginał (EN)

SQL injection vulnerability have been found in 101news affecting version 1.0 through the "category" and "subcategory" parameters in admin/add-subcategory.php.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych w parametrach 'category' oraz 'subcategory' w żądaniach do pliku admin/add-subcategory.php. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio do zapytania wykonywanego na bazie danych. Ze względu na sieciową dostępność bez konieczności uwierzytelnienia, exploit może zostać przeprowadzony zdalnie przez dowolnego użytkownika.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie, modyfikować lub usuwać dane, a w sprzyjających okolicznościach przejąć kontrolę nad aplikacją lub serwerem bazy danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako natychmiastowe środki zaradcze zaleca się ograniczenie dostępu sieciowego do panelu administracyjnego (admin/) oraz wdrożenie walidacji i parametryzacji zapytań SQL po stronie aplikacji.

Kogo dotyczy

Mayurik Best Online News Portal (101news) w wersji 1.0

Uwagi

Podatność została zgłoszona przez INCIBE-CERT (Hiszpańskie Narodowe Centrum Cyberbezpieczeństwa). Strona referencji wskazuje na istnienie wielu podatności w tym produkcie (multiple vulnerabilities).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Mayurik Best Online News Portal

    APP
    Mayurik
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-1872CRITICAL9.3PL ✓ten sam produkt

SQL Injection w 101news — parametr sadminusername w panelu admina

CVE-2025-1873CRITICAL9.3PL ✓ten sam produkt

SQL Injection w 101news przez parametry pagetitle i pagedescription

CVE-2025-1870CRITICAL9.3PL ✓ten sam produkt

SQL Injection w 101news (Mayurik Best Online News Portal) via parametr pagedescription

CVE-2025-1869CRITICAL9.3PL ✓ten sam produkt

SQL Injection w 101news — podatność w parametrze 'username'

CVE-2025-1874CRITICAL9.3PL ✓ten sam produkt

SQL Injection w 101news – parametr 'description' w panelu admina