Plataforma
other
Componente
school-manage-system
Corregido en
2020.0.1
El School Manage System, desarrollado por ALLE INFORMATION CO., LTD., presenta una vulnerabilidad de inyección SQL antes de la versión 2020. Esta falla permite a un atacante, mediante el uso de consultas de inyección basadas en UNION, obtener información sensible de la base de datos, incluyendo el esquema y las credenciales de usuario. Se recomienda actualizar a la versión 2020 para corregir esta vulnerabilidad.
La vulnerabilidad de inyección SQL en School Manage System permite a un atacante comprometer la integridad y confidencialidad de la base de datos. Un atacante podría extraer información sensible como nombres de usuario, contraseñas, datos de estudiantes y profesores, e incluso modificar o eliminar datos. La capacidad de obtener el esquema de la base de datos facilita la creación de consultas SQL maliciosas para acceder a información específica o realizar acciones no autorizadas. Esta vulnerabilidad podría resultar en una fuga masiva de datos, interrupción del servicio y daño a la reputación de la organización.
La vulnerabilidad CVE-2020-10505 fue publicada el 15 de abril de 2020. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La disponibilidad de un PoC público podría facilitar la explotación de esta vulnerabilidad por parte de actores maliciosos. Se recomienda monitorear la actividad de la red y los registros del sistema para detectar posibles intentos de explotación.
Schools and educational institutions utilizing the School Manage System are at significant risk. Organizations relying on older, unpatched versions of the system, particularly those with limited security resources or those running the system on shared hosting environments, are especially vulnerable. Any deployment of School Manage System before version 2020 is considered at risk.
• linux / server: Monitor web server access logs for unusual SQL queries containing keywords like UNION, SELECT, INSERT, UPDATE, DELETE. Use journalctl to review application logs for SQL errors or suspicious activity.
journalctl -u school_manage_system -f | grep "SQL error"• generic web: Use curl to test endpoints for SQL injection vulnerabilities by injecting malicious SQL code into input fields. Examine response headers for SQL error messages.
curl -d 'username=';'password=UNION SELECT version(),user(),database()--' http://schoolmanagesystem/login.phpdisclosure
Estado del Exploit
EPSS
0.31% (54% percentil)
Vector CVSS
La mitigación principal para CVE-2020-10505 es actualizar el School Manage System a la versión 2020 o posterior, donde se ha corregido la vulnerabilidad de inyección SQL. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y sanitización de todas las entradas de usuario. Además, se debe restringir el acceso a la base de datos solo a usuarios autorizados y monitorear los registros del sistema en busca de actividades sospechosas. No existen reglas WAF específicas para esta vulnerabilidad, pero la validación de entrada es crucial.
Actualizar School Manage System a la versión 2020 o posterior. Esto corregirá la vulnerabilidad de inyección SQL.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-10505 is a critical SQL Injection vulnerability affecting School Manage System versions before 2020, allowing attackers to potentially extract sensitive data from the database.
If you are using School Manage System versions prior to 2020, you are potentially affected by this vulnerability. Immediate action is required.
Upgrade to School Manage System version 2020 or later. As a temporary workaround, implement a WAF to filter malicious SQL injection attempts.
While no confirmed active exploitation campaigns have been publicly linked, the vulnerability's severity and ease of exploitation suggest a potential risk.
Refer to the vendor's advisory or security bulletin for School Manage System, typically available on the ALLE INFORMATION CO., LTD. website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.