System point-of-sale Money-Pos autorstwa ycf1998 zawiera wiele podatności SQL injection umożliwiających zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia. Podatność otrzymała maksymalny wynik CVSS 10.0, co klasyfikuje ją jako krytyczne zagrożenie.
▸ Pokaż oryginał (EN)
Multiple SQL injection vulnerabilitites in ycf1998 money-pos system before commit 11f276bd20a41f089298d804e43cb1c39d041e59 (2025-09-14) allows a remote attacker to execute arbitrary code via the orderby parameter
Atakujący wysyła zdalnie spreparowane żądanie HTTP zawierające złośliwy payload wstrzyknięty w parametr 'orderby'. Aplikacja nie waliduje ani nie sanityzuje wartości tego parametru przed przekazaniem go do zapytania SQL, co pozwala na manipulację logiką bazy danych. Podatność ta umożliwia eskalację od SQL injection do wykonania dowolnego kodu (RCE) na serwerze docelowym. Atak nie wymaga żadnego uwierzytelnienia ani interakcji po stronie użytkownika.
Atakujący może uzyskać pełną kontrolę nad systemem — odczytać, zmodyfikować lub usunąć dane w bazie, a także wykonać dowolny kod na serwerze, co grozi całkowitym przejęciem systemu i infrastruktury.
Należy zaktualizować system Money-Pos do wersji zawierającej commit 11f276bd20a41f089298d804e43cb1c39d041e59 (z dnia 2025-09-14) lub nowszej. Szczegóły dostępne w referencjach producenta na GitHub.
System Ycf1998 Money-Pos we wszystkich wersjach przed commitem 11f276bd20a41f089298d804e43cb1c39d041e59 z dnia 2025-09-14
Publicznie dostępny proof-of-concept exploit opublikowany przez LockeTom na platformie GitHub Gist (referencja: https://gist.github.com/LockeTom/2ed0f3751c88542f48b7c230468d2a46). Podatność zgłoszona również w systemie issues repozytorium producenta (issue #3).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HYcf1998 Money Pos
APPYcf1998< 2025-09-14