PilusCart 1.4.1 SQL इंजेक्शन send पैरामीटर के माध्यम से

PilusCart 1.4.1 में एक SQL इंजेक्शन भेद्यता है जो प्रमाणीकरण रहित हमलावरों को SQL कोड इंजेक्ट करके डेटाबेस प्रश्नों में हेरफेर करने की अनुमति देती है 'send' पैरामीटर के माध्यम से। हमलावर संवेदनशील डेटाबेस जानकारी निकालने के लिए टिप्पणी सबमिशन एंडपॉइंट में RLIKE-आधारित बूलियन SQL इंजेक्शन पेलोड के साथ POST अनुरोध सबमिट कर सकते हैं।