Plateforme
php
Composant
piluscart
Corrigé dans
1.4.2
La vulnérabilité CVE-2019-25672 est une injection SQL détectée dans PilusCart versions 1.4.1–1.4.1. Cette faille permet à des attaquants non authentifiés de manipuler les requêtes de la base de données en injectant du code SQL via le paramètre 'send'. L'impact principal est l'extraction potentielle d'informations sensibles de la base de données. Aucune version corrigée n'est actuellement disponible.
La CVE-2019-25672 affecte PilusCart version 1.4.1, exposant une vulnérabilité d'injection SQL dans le paramètre 'send' du point de terminaison de soumission de commentaires. Un attaquant non authentifié peut exploiter cette faille pour manipuler les requêtes SQL, extrayant potentiellement des informations sensibles de la base de données. La vulnérabilité exploite des payloads d'injection SQL booléennes basés sur RLIKE, permettant l'extraction de données via des requêtes POST. La sévérité de la vulnérabilité est notée 8.2 selon le CVSS, indiquant un risque significatif. L'absence d'une correction officielle (fix: none) aggrave la situation, nécessitant des mesures de mitigation urgentes pour protéger les systèmes affectés. L'absence d'un KEV (Knowledge Entry Validation) suggère que la vulnérabilité pourrait ne pas être largement reconnue ou documentée dans les bases de connaissances de sécurité.
La vulnérabilité est exploitée via des requêtes POST ciblant le point de terminaison de soumission de commentaires de PilusCart 1.4.1. L'attaquant injecte du code SQL malveillant dans le paramètre 'send', en utilisant des payloads RLIKE pour construire des requêtes booléennes qui extraient des données de la base de données. L'absence d'authentification permet à tout attaquant, même les utilisateurs non enregistrés, de tenter d'exploiter la vulnérabilité. Le succès de l'exploitation dépend de la configuration de la base de données et des mesures de sécurité existantes. La complexité de l'exploitation est relativement faible, ce qui en fait un risque important pour les systèmes non corrigés.
Organizations and individuals using PilusCart version 1.4.1–1.4.1, particularly those with sensitive customer data or financial information, are at significant risk. Shared hosting environments where multiple websites share the same PilusCart installation are especially vulnerable, as a compromise of one site could potentially impact others.
• php / server:
grep -r 'send parameter' /var/log/apache2/access.log
grep -r 'RLIKE' /var/log/apache2/access.log• generic web:
curl -I 'http://your-piluscart-site.com/comment.php?send=RLIKE' # Check for unusual response headersdisclosure
Statut de l'Exploit
EPSS
0.08% (percentile 24%)
CISA SSVC
Vecteur CVSS
Étant donné qu'il n'existe pas de correctif officiel pour la CVE-2019-25672 dans PilusCart 1.4.1, la mitigation se concentre sur des mesures défensives. Il est fortement recommandé de mettre à niveau vers une version ultérieure de PilusCart si elle est disponible, car les versions ultérieures pourraient avoir résolu cette vulnérabilité. En attendant, la mise en œuvre d'une validation et d'une désinfection rigoureuses de toutes les entrées utilisateur, en particulier le paramètre 'send', est cruciale. L'utilisation de requêtes paramétrées ou de procédures stockées peut aider à prévenir l'injection SQL. De plus, la restriction de l'accès à la base de données et la surveillance de l'activité suspecte peuvent aider à détecter et à répondre aux attaques potentielles. Envisagez d'utiliser un pare-feu d'applications web (WAF) pour filtrer le trafic malveillant.
Actualice PilusCart a una versión corregida. Verifique las fuentes oficiales de PilusCart para obtener información sobre las actualizaciones disponibles y siga las instrucciones de instalación proporcionadas. Como medida de seguridad adicional, implemente validación y saneamiento de entradas en todas las interacciones del usuario para prevenir futuras inyecciones SQL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est une technique d'attaque qui permet aux attaquants de manipuler les requêtes SQL en insérant du code malveillant dans les entrées utilisateur.
Si vous utilisez PilusCart version 1.4.1, vous êtes probablement vulnérable. Effectuez des tests d'intrusion ou utilisez des outils de numérisation des vulnérabilités pour confirmer.
Examinez les journaux du serveur à la recherche d'activités suspectes. Modifiez les mots de passe de la base de données et prenez des mesures pour renforcer la sécurité de votre système.
Vous pouvez utiliser un pare-feu d'applications web (WAF) ou des outils de numérisation des vulnérabilités pour vous aider à atténuer le risque.
Vous pouvez trouver plus d'informations sur la CVE-2019-25672 dans les bases de données de vulnérabilités telles que le National Vulnerability Database (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.