Plateforme
php
Composant
querymine-sms
Corrigé dans
7.0.1
Une vulnérabilité d'injection SQL a été identifiée dans QueryMine sms, affectant les versions jusqu'à 7ab5a9ea196209611134525ffc18de25c57d9593. L'exploitation de l'argument ID dans le fichier admin/deletecourse.php permet d'injecter du code SQL. Cette faille est exploitable à distance et a été rendue publique. QueryMine sms utilise un modèle de publication continue, ce qui rend difficile l'identification précise des versions affectées ou corrigées.
Une vulnérabilité d'injection SQL a été identifiée dans QueryMine sms jusqu'à la version 7ab5a9ea196209611134525ffc18de25c57d9593. Cette vulnérabilité affecte une fonction inconnue à l'intérieur du fichier admin/deletecourse.php, plus précisément le gestionnaire de paramètres de requête GET. Un attaquant peut exploiter cette faiblesse en manipulant l'argument ID, ce qui permet l'exécution de code SQL malveillant. L'exploitation est à distance, ce qui signifie qu'un attaquant peut lancer l'attaque depuis n'importe quel endroit disposant d'un accès réseau. La disponibilité publique de l'exploit augmente considérablement le risque d'attaques. Étant donné que QueryMine sms utilise un modèle de publication continue, les correctifs de version spécifiques peuvent ne pas être disponibles de manière traditionnelle. Il est recommandé de surveiller les mises à jour du fournisseur et d'appliquer les correctifs dès qu'ils sont disponibles.
La vulnérabilité d'injection SQL se trouve dans le fichier admin/deletecourse.php et est déclenchée par la manipulation du paramètre ID dans une requête GET. Un attaquant peut injecter du code SQL malveillant dans ce paramètre, qui est ensuite exécuté contre la base de données. L'exploitation est à distance, ne nécessitant pas d'accès physique au serveur. La disponibilité publique de l'exploit facilite l'exploitation par des attaquants ayant différents niveaux de compétences techniques. Une exploitation réussie peut entraîner la divulgation d'informations confidentielles, la modification de données et la compromission du système. L'absence d'une solution de correctif spécifique augmente l'urgence d'appliquer les dernières mises à jour et de mettre en œuvre des mesures de sécurité supplémentaires.
Organizations utilizing QueryMine sms for SMS management, particularly those handling sensitive customer data or operating in regulated industries, are at significant risk. Shared hosting environments where multiple users share the same QueryMine instance are also particularly vulnerable, as a compromise of one user's account could potentially expose data for all users.
• linux / server:
journalctl -u querymine -g "SQL injection"• generic web:
curl -I 'http://your-querymine-instance/admin/deletecourse.php?id='; # Check for SQL errors in response headersdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
En raison du modèle de publication continue de QueryMine sms, une solution de correctif spécifique n'est pas fournie. L'atténuation principale consiste à appliquer les dernières mises à jour de QueryMine sms dès qu'elles sont disponibles. De plus, il est recommandé de mettre en œuvre des mesures de sécurité supplémentaires telles que la validation et la désinfection de toutes les entrées utilisateur, l'application du principe du moindre privilège aux comptes de base de données et la surveillance du trafic réseau à la recherche d'activités suspectes. La segmentation du réseau peut limiter l'impact d'une exploitation potentielle. Il est essentiel de revoir la configuration de sécurité de l'application et de la base de données pour identifier et corriger toute autre vulnérabilité potentielle. La mise en œuvre d'un pare-feu applicatif web (WAF) peut aider à bloquer les attaques connues.
Actualice a la última versión disponible de QueryMine sms. Debido al modelo de lanzamiento continuo, consulte la documentación oficial o contacte con el proveedor para obtener información sobre las versiones específicas afectadas y las actualizaciones disponibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est une vulnérabilité de sécurité qui permet aux attaquants d'exécuter du code SQL malveillant dans une base de données.
Cette vulnérabilité pourrait permettre à un attaquant d'accéder à des informations confidentielles, de modifier des données ou de prendre le contrôle du système.
Vous devez mettre à jour vers la dernière version disponible de QueryMine sms dès que possible. Vous devez également mettre en œuvre des mesures de sécurité supplémentaires, telles que la validation des entrées et la surveillance du trafic réseau.
En raison du modèle de publication continue de QueryMine sms, un correctif spécifique n'est pas fourni. La mise à jour vers la dernière version est la meilleure atténuation.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans les bases de données de vulnérabilités, telles que CVE (Common Vulnerabilities and Exposures).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.