Plateforme
other
Composant
school-manage-system
Corrigé dans
2020.0.1
Une vulnérabilité d'injection SQL a été découverte dans le School Manage System développé par ALLE INFORMATION CO., LTD. Cette faille permet à un attaquant d'exploiter une requête d'injection basée sur UNION pour accéder à des informations sensibles. Les versions du système antérieures à 2020 sont concernées. Une correction a été publiée en 2020.
L'injection SQL dans le School Manage System permet à un attaquant d'extraire des informations sensibles de la base de données, telles que le schéma de la base de données, les noms d'utilisateur et les mots de passe. Un attaquant pourrait potentiellement modifier ou supprimer des données, compromettant l'intégrité du système de gestion scolaire. La vulnérabilité, avec un score CVSS de 9.8, indique un risque critique et une exploitation réussie pourrait entraîner une compromission totale du système. Bien que des exemples spécifiques d'exploitation publique ne soient pas immédiatement disponibles, la nature de l'injection SQL permet une large gamme d'attaques.
Cette vulnérabilité a été publiée le 15 avril 2020. Bien qu'aucune exploitation active confirmée ne soit signalée publiquement, la nature de l'injection SQL en fait une cible potentielle pour les attaquants. La vulnérabilité n'est pas répertoriée sur le KEV de CISA à ce jour. La disponibilité d'une correction en 2020 suggère que le fournisseur a pris des mesures pour résoudre le problème.
Schools and educational institutions utilizing the School Manage System are at significant risk. Organizations relying on older, unpatched versions of the system, particularly those with limited security resources or those running the system on shared hosting environments, are especially vulnerable. Any deployment of School Manage System before version 2020 is considered at risk.
• linux / server: Monitor web server access logs for unusual SQL queries containing keywords like UNION, SELECT, INSERT, UPDATE, DELETE. Use journalctl to review application logs for SQL errors or suspicious activity.
journalctl -u school_manage_system -f | grep "SQL error"• generic web: Use curl to test endpoints for SQL injection vulnerabilities by injecting malicious SQL code into input fields. Examine response headers for SQL error messages.
curl -d 'username=';'password=UNION SELECT version(),user(),database()--' http://schoolmanagesystem/login.phpdisclosure
Statut de l'Exploit
EPSS
0.31% (percentile 54%)
Vecteur CVSS
La correction principale consiste à mettre à jour le School Manage System vers une version corrigée (2020 ou ultérieure). En attendant la mise à jour, des mesures d'atténuation peuvent inclure la validation rigoureuse de toutes les entrées utilisateur pour prévenir l'injection SQL. L'utilisation d'un pare-feu applicatif web (WAF) configuré pour bloquer les requêtes d'injection SQL peut également aider à réduire le risque. Il est également recommandé de limiter les privilèges de l'utilisateur de la base de données utilisé par l'application, afin de minimiser les dommages potentiels en cas d'exploitation réussie. Après la mise à jour, vérifiez l'intégrité du système en effectuant des tests de pénétration.
Mettre à jour School Manage System à la version 2020 ou ultérieure. Cela corrigera la vulnérabilité d'Injeção SQL (SQL Injection).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2020-10505 is a critical SQL Injection vulnerability affecting School Manage System versions before 2020, allowing attackers to potentially extract sensitive data from the database.
If you are using School Manage System versions prior to 2020, you are potentially affected by this vulnerability. Immediate action is required.
Upgrade to School Manage System version 2020 or later. As a temporary workaround, implement a WAF to filter malicious SQL injection attempts.
While no confirmed active exploitation campaigns have been publicly linked, the vulnerability's severity and ease of exploitation suggest a potential risk.
Refer to the vendor's advisory or security bulletin for School Manage System, typically available on the ALLE INFORMATION CO., LTD. website.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.