PilusCart 1.4.1 Injection SQL via le paramètre send

PilusCart 1.4.1 contient une vulnérabilité d’injection SQL qui permet aux attaquants non authentifiés de manipuler les requêtes de base de données en injectant du code SQL via le paramètre « send ». Les attaquants peuvent soumettre des requêtes POST au point de terminaison de soumission de commentaires avec des charges utiles SQL booléennes basées sur RLIKE pour extraire des informations sensibles de la base de données.