Plataforma
php
Componente
grocerycrud
Corregido en
2.0.2
La vulnerabilidad CVE-2021-47811 es una inyección SQL presente en Grocery Crud versiones anteriores a 2.0.1. Esta falla permite a atacantes remotos manipular consultas de la base de datos mediante la inyección de código SQL malicioso. El impacto principal es la posible extracción o modificación de información sensible almacenada en la base de datos. Se recomienda actualizar a la versión 2.0.1 para solucionar este problema.
Un atacante puede explotar esta vulnerabilidad inyectando código SQL malicioso a través del parámetro orderby[] en las solicitudes POST al endpoint ajaxlist. Esto podría permitirle el acceso no autorizado a la base de datos, la extracción de información confidencial como nombres de usuario, contraseñas, datos de clientes o incluso la modificación de datos críticos. En un escenario de ataque exitoso, el atacante podría comprometer la integridad de la aplicación y la información que gestiona. Aunque no se han reportado casos de explotación pública, la alta puntuación CVSS indica un riesgo significativo, especialmente en entornos donde Grocery Crud se utiliza para gestionar información sensible.
CVE-2021-47811 ha sido publicado en el NVD el 15 de enero de 2026. La vulnerabilidad se considera de alta probabilidad de explotación debido a su gravedad (CVSS 9.1) y la relativa facilidad con la que puede ser explotada. No se ha reportado explotación activa en campañas conocidas, pero la disponibilidad de información sobre la vulnerabilidad aumenta el riesgo de que sea utilizada por atacantes. No se ha añadido a KEV hasta la fecha.
Organizations using Grocery Crud in production environments, particularly those handling sensitive data, are at significant risk. Shared hosting environments where multiple users share the same Grocery Crud installation are especially vulnerable, as an attacker could potentially compromise other users' data through this vulnerability.
• php / web:
grep -r 'order_by[]' /var/www/grocery_crud/• php / web:
find /var/www/grocery_crud/ -name 'ajax_list.php' -print• generic web:
curl -I 'http://your-grocery-crud-site.com/ajax_list?order_by[]='; # Check for unusual response headersdisclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2021-47811 es actualizar Grocery Crud a la versión 2.0.1 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales como la validación y el saneamiento rigurosos de todas las entradas del usuario, especialmente el parámetro order_by[]. Además, se puede considerar el uso de un Web Application Firewall (WAF) con reglas que detecten y bloqueen intentos de inyección SQL. Monitorear los logs de la aplicación en busca de patrones sospechosos, como consultas SQL inusuales o errores relacionados con la base de datos, también puede ayudar a detectar y prevenir ataques.
Actualice Grocery Crud a la versión 2.0.1 o superior. Esta versión contiene la corrección para la vulnerabilidad de inyección SQL en el parámetro order_by. La actualización mitigará el riesgo de manipulación de consultas de bases de datos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-47811 is a critical SQL injection vulnerability affecting Grocery Crud versions up to 2.0.1, allowing attackers to manipulate database queries.
Yes, if you are using Grocery Crud version 2.0.1 or earlier, you are vulnerable to this SQL injection flaw.
Upgrade Grocery Crud to version 2.0.1 or later. Implement WAF rules and input validation as temporary mitigations.
While no confirmed exploitation campaigns are currently known, the high CVSS score suggests a high probability of exploitation.
Refer to the official Grocery Crud project website or security advisories for the latest information and updates regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.