CVE-2018-25208: SQL Injection dans qdPM 9.1, vulnérabilité
Plateforme
php
Composant
qdpm
La vulnérabilité CVE-2018-25208 est une faille d'injection SQL affectant qdPM version 9.1. Elle permet à des attaquants non authentifiés d'extraire des informations de la base de données en injectant du code SQL via les paramètres 'filter_by'. L'exploitation de cette vulnérabilité peut mener à la récupération de données sensibles. Les versions 9.1 à 9.1 sont concernées. Aucun correctif officiel n'est disponible.
Comment corriger
Mettre à jour qdPM vers une version postérieure à la 9.1 qui corrige la vulnérabilité d'injection SQL (SQL Injection). S'il n'y a pas de version disponible, il est recommandé d'appliquer un correctif de sécurité qui filtre et échappe correctement les entrées des paramètres filter_by[CommentCreatedFrom] et filter_by[CommentCreatedTo] dans le point de terminaison timeReport.
Questions fréquentes
Qu'est-ce que CVE-2018-25208 ?
CVE-2018-25208 est une vulnérabilité d'injection SQL dans qdPM 9.1, permettant l'exécution de requêtes SQL arbitraires via les paramètres 'filter_by'.
Suis-je affecté par cette vulnérabilité ?
Vous êtes affecté si vous utilisez qdPM version 9.1.
Comment puis-je me protéger contre cette vulnérabilité ?
En l'absence de correctif officiel, il est recommandé de surveiller les mises à jour et d'appliquer des mesures de sécurité telles que la validation des entrées et l'utilisation d'un pare-feu applicatif.
Surveillez vos dépendances automatiquement
Recevez des alertes quand de nouvelles vulnérabilités affectent vos projets.
Commencer gratuitement