Plataforma
php
Componente
voovi-social-networking-script
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de inyección SQL en el script Voovi Social Networking Script, afectando a la versión 1.0. Esta falla permite a un atacante remoto inyectar código SQL malicioso a través del parámetro 'id' en el archivo videos.php, comprometiendo la seguridad de la aplicación. La versión 1.0.1 ya ha sido publicada para solucionar esta vulnerabilidad.
La inyección SQL en Voovi Social Networking Script representa un riesgo crítico para la confidencialidad e integridad de los datos. Un atacante exitoso podría explotar esta vulnerabilidad para extraer información sensible almacenada en la base de datos, como nombres de usuario, contraseñas, datos personales y otra información confidencial. Además, la inyección SQL podría permitir al atacante modificar o eliminar datos, comprometiendo la funcionalidad de la aplicación y la integridad de la información. La severidad de esta vulnerabilidad se asemeja a otros casos de inyección SQL donde la base de datos es el punto de entrada para el control total del sistema.
Esta vulnerabilidad fue publicada el 30 de noviembre de 2023. Actualmente no se dispone de información sobre campañas de explotación activas, pero la alta puntuación CVSS (9.8) indica un alto riesgo. No se ha añadido a KEV. Se recomienda monitorear los foros de seguridad y repositorios de exploits para detectar posibles pruebas de concepto (PoC) o exploits públicos.
Organizations and individuals utilizing the Voovi Social Networking Script, particularly those running older, unpatched versions (1.0) are at significant risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's installation could potentially impact others.
• php: Examine web server access logs for requests to videos.php with unusual or malformed id parameters containing SQL keywords (e.g., SELECT, UNION, INSERT).
• php: Use a code scanner to identify instances of unsanitized user input being used in SQL queries within videos.php.
• generic web: Monitor database logs for unusual query patterns or errors originating from the web server.
• generic web: Implement a WAF rule to block requests containing SQL injection payloads targeting the videos.php endpoint.
disclosure
Estado del Exploit
EPSS
0.18% (39% percentil)
Vector CVSS
La mitigación principal para CVE-2023-6418 es actualizar inmediatamente a la versión 1.0.1 de Voovi Social Networking Script. Si la actualización no es factible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la validación y sanitización rigurosa de todas las entradas de usuario, especialmente el parámetro 'id' en videos.php. Además, se recomienda utilizar un firewall de aplicaciones web (WAF) con reglas para detectar y bloquear intentos de inyección SQL. Verifique después de la actualización que la consulta a videos.php no sea vulnerable mediante una prueba de inyección SQL básica.
Actualizar a una versión parcheada o descontinuar el uso del script. Implementar validación y sanitización de entradas en el parámetro 'id' de videos.php para prevenir inyección SQL (SQL Injection). Considerar el uso de consultas preparadas o un ORM para mitigar el riesgo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-6418 is a critical SQL injection vulnerability affecting Voovi Social Networking Script versions 1.0. Attackers can inject malicious SQL code via the 'id' parameter in videos.php, potentially gaining unauthorized access to the database.
You are affected if you are using Voovi Social Networking Script version 1.0. Upgrade to version 1.0.1 or later to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1 or later. As a temporary workaround, implement a WAF rule to filter malicious SQL queries targeting videos.php.
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation suggest it is a high-priority target for attackers.
Refer to the vendor's official advisory for the most up-to-date information and security recommendations. Check the Voovi website or relevant security forums for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.