CVE-2018-25208: SQL Injection in qdPM 9.1
Platform
php
Component
qdpm
CVE-2018-25208 beschrijft een SQL Injection kwetsbaarheid in qdPM 9.1. Deze kwetsbaarheid maakt het mogelijk voor onbevoegde gebruikers om database informatie te extraheren door SQL code te injecteren via de 'filter_by' parameters. Dit kan leiden tot ongeautoriseerde toegang en datalekken. De getroffen versies zijn 9.1 tot en met 9.1. Er is momenteel geen officiële patch beschikbaar.
Hoe te verhelpen
Update qdPM naar een versie hoger dan 9.1 die de SQL injectie (SQL Injection) kwetsbaarheid oplost. Als er geen versie beschikbaar is, wordt aanbevolen om een beveiligingspatch toe te passen die de invoer van de filter_by[CommentCreatedFrom] en filter_by[CommentCreatedTo] parameters in het timeReport endpoint correct filtert en escaped.
Veelgestelde vragen
Wat is CVE-2018-25208?
CVE-2018-25208 is een SQL Injection kwetsbaarheid in qdPM 9.1, waardoor aanvallers database informatie kunnen extraheren via 'filter_by' parameters.
Ben ik getroffen door CVE-2018-25208?
Als u qdPM 9.1 gebruikt, bent u mogelijk kwetsbaar voor deze SQL Injection aanval.
Hoe kan ik mij beschermen tegen CVE-2018-25208?
Aangezien er geen officiële patch beschikbaar is, is het cruciaal om de input van de 'filter_by' parameters te valideren en te filteren. Overweeg ook het implementeren van een Web Application Firewall (WAF).
Bewaak uw afhankelijkheden automatisch
Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.
Gratis beginnen