Plattform
php
Komponente
querymine-sms
Behoben in
7.0.1
A SQL Injection vulnerability has been identified in QueryMine sms versions up to 7ab5a9ea1962. The vulnerability resides in the admin/deletecourse.php file, specifically within the GET Request Parameter Handler, allowing attackers to manipulate the ID argument and execute arbitrary SQL code. This vulnerability is publicly known and exploitable, and due to QueryMine’s rolling release model, specific version information for affected or updated releases is not available.
Eine SQL-Injection-Schwachstelle wurde in QueryMine sms bis zur Version 7ab5a9ea196209611134525ffc18de25c57d9593 identifiziert. Diese Schwachstelle betrifft eine unbekannte Funktion innerhalb der Datei admin/deletecourse.php, insbesondere den GET-Request-Parameter-Handler. Ein Angreifer kann diese Schwäche ausnutzen, indem er das Argument ID manipuliert, wodurch die Ausführung von bösartigem SQL-Code ermöglicht wird. Die Ausnutzung erfolgt remote, d.h. ein Angreifer kann den Angriff von jedem Ort mit Netzwerkzugang starten. Die öffentliche Verfügbarkeit des Exploits erhöht das Risiko von Angriffen erheblich. Da QueryMine sms ein Rolling-Release-Modell verwendet, sind spezifische Versionskorrekturen möglicherweise nicht in herkömmlicher Weise verfügbar. Es wird empfohlen, die Aktualisierungen des Anbieters zu überwachen und Korrekturen anzuwenden, sobald diese verfügbar sind.
Die SQL-Injection-Schwachstelle befindet sich in der Datei admin/deletecourse.php und wird durch die Manipulation des Parameters ID in einer GET-Anfrage ausgelöst. Ein Angreifer kann bösartigen SQL-Code in diesen Parameter injizieren, der dann gegen die Datenbank ausgeführt wird. Die Ausnutzung erfolgt remote und erfordert keinen physischen Zugriff auf den Server. Die öffentliche Verfügbarkeit des Exploits erleichtert es Angreifern mit unterschiedlichen technischen Fähigkeiten, ihn auszunutzen. Eine erfolgreiche Ausnutzung kann zur Offenlegung vertraulicher Informationen, zur Datenänderung und zur Kompromittierung des Systems führen. Das Fehlen einer spezifischen Patch-Lösung erhöht die Dringlichkeit, die neuesten Updates anzuwenden und zusätzliche Sicherheitsmaßnahmen zu implementieren.
Organizations utilizing QueryMine sms for SMS management, particularly those handling sensitive customer data or operating in regulated industries, are at significant risk. Shared hosting environments where multiple users share the same QueryMine instance are also particularly vulnerable, as a compromise of one user's account could potentially expose data for all users.
• linux / server:
journalctl -u querymine -g "SQL injection"• generic web:
curl -I 'http://your-querymine-instance/admin/deletecourse.php?id='; # Check for SQL errors in response headersdisclosure
Exploit-Status
EPSS
0.04% (11% Perzentil)
CISA SSVC
CVSS-Vektor
Aufgrund des Rolling-Release-Modells von QueryMine sms wird keine spezifische Patch-Lösung bereitgestellt. Die primäre Abschwächung besteht darin, die neuesten QueryMine sms-Updates anzuwenden, sobald sie verfügbar sind. Darüber hinaus wird empfohlen, zusätzliche Sicherheitsmaßnahmen zu implementieren, z. B. die Validierung und Bereinigung aller Benutzereingaben, die Anwendung des Prinzips der geringsten Privilegien auf Datenbankkonten und die Überwachung des Netzwerkverkehrs auf verdächtige Aktivitäten. Die Netzwerksegmentierung kann die Auswirkungen einer potenziellen Ausnutzung begrenzen. Es ist entscheidend, die Sicherheitseinstellungen der Anwendung und der Datenbank zu überprüfen, um alle anderen potenziellen Schwachstellen zu identifizieren und zu beheben. Die Implementierung einer Web Application Firewall (WAF) kann dazu beitragen, bekannte Angriffe zu blockieren.
Actualice a la última versión disponible de QueryMine sms. Debido al modelo de lanzamiento continuo, consulte la documentación oficial o contacte con el proveedor para obtener información sobre las versiones específicas afectadas y las actualizaciones disponibles.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
SQL-Injection ist eine Sicherheitslücke, die es Angreifern ermöglicht, bösartigen SQL-Code in einer Datenbank auszuführen.
Diese Schwachstelle könnte es einem Angreifer ermöglichen, auf vertrauliche Informationen zuzugreifen, Daten zu ändern oder die Kontrolle über das System zu übernehmen.
Sie sollten auf die neueste verfügbare Version von QueryMine sms so schnell wie möglich aktualisieren. Sie sollten auch zusätzliche Sicherheitsmaßnahmen implementieren, z. B. Eingabevalidierung und Netzwerkverkehrsüberwachung.
Aufgrund des Rolling-Release-Modells von QueryMine sms wird kein spezifischer Patch bereitgestellt. Das Aktualisieren auf die neueste Version ist die beste Abschwächung.
Sie können weitere Informationen zu dieser Schwachstelle in Schwachstellendatenbanken wie CVE (Common Vulnerabilities and Exposures) finden.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.