Platform
aspnet
Component
asp-net-jvideo-kit
Opgelost in
1.0.1
CVE-2018-25205 beschrijft een SQL Injection kwetsbaarheid in ASP.NET jVideo Kit 1.0. Deze kwetsbaarheid maakt het mogelijk voor onbevoegde gebruikers om SQL commands te injecteren via de 'query' parameter in de zoekfunctionaliteit. Dit kan leiden tot ongeautoriseerde toegang en datalekken. De getroffen versies zijn 1.0 tot en met 1.0. Er is momenteel geen officiële patch beschikbaar.
CVE-2018-25205 in jVideo Kit 1.0 voor ASP.NET vormt een aanzienlijk risico vanwege een SQL-injectie kwetsbaarheid in de zoekfunctionaliteit. Een niet-geauthenticeerde aanvaller kan deze fout uitbuiten door kwaadaardige SQL-commando's te verzenden via de 'query' parameter in het '/search' pad, via GET of POST verzoeken. Dit maakt de extractie van gevoelige database informatie mogelijk, met behulp van boolean-gebaseerde blind of fout-gebaseerde injectietechnieken. De potentiële impact omvat schendingen van de vertrouwelijkheid van gegevens, database manipulatie en zelfs servercompromis, afhankelijk van de database account permissies die door de applicatie worden gebruikt. Het ontbreken van een officiële fix verergert de situatie en vereist onmiddellijke mitigerende maatregelen.
De kwetsbaarheid wordt uitgebuit via het '/search' pad in de jVideo Kit applicatie. Aanvallers kunnen de 'query' parameter manipuleren om kwaadaardige SQL-code in te voegen. Het ontbreken van authenticatie betekent dat elke gebruiker, zelfs een niet-geregistreerde gebruiker, kan proberen de kwetsbaarheid uit te buiten. Exploitatie kan complexer zijn als de database geen expliciete fouten teruggeeft, wat het gebruik van blind SQL-injectietechnieken vereist. Tools zoals SQLMap kunnen het exploitatieproces automatiseren. De eenvoud van de kwetsbaarheid en het ontbreken van een fix maken het een aantrekkelijk doelwit voor aanvallers.
Organizations utilizing ASP.NET jVideo Kit version 1.0, particularly those hosting the application on shared hosting environments or without robust input validation practices, are at significant risk. Systems with weak database security configurations or those lacking intrusion detection systems are also more vulnerable.
• aspnet / web:
curl -s -X GET 'http://<target>/search?query='; SELECT+sleep(5);-- -n• generic web:
curl -s -X GET 'http://<target>/search?query='; SELECT+sleep(5);-- -n | grep 'sleep(5)'• generic web:
grep -i 'sql injection' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.09% (25% percentiel)
CISA SSVC
CVSS-vector
Aangezien er geen officiële fix wordt geleverd door de jVideo Kit ontwikkelaar, vereist het mitigeren van CVE-2018-25205 een proactieve aanpak. Het wordt sterk aanbevolen om de zoekfunctionaliteit te verwijderen of uit te schakelen totdat een veilige oplossing kan worden geïmplementeerd. Als de functionaliteit essentieel is, moeten strenge invoervalidatie en -sanering van alle gebruikersinvoer, het gebruik van geparametriseerde queries (prepared statements) om SQL-injectie te voorkomen en de toepassing van het principe van minimale privileges op het databaseaccount dat door de applicatie wordt gebruikt, worden geïmplementeerd. Het monitoren van de applicatie op verdachte activiteiten is cruciaal. Het overwegen van een upgrade naar een veiligere versie van ASP.NET, indien mogelijk, kan een extra beschermingslaag bieden.
Update naar een gepatchte versie of implementeer beveiligingsmaatregelen om SQL injectie (SQL Injection) te voorkomen. Valideer en filter de invoer van de 'query' parameter voordat deze in SQL queries wordt gebruikt. Overweeg om geparameteriseerde queries of een ORM te gebruiken om SQL injectie (SQL Injection) te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is mogelijk dat jVideo Kit niet langer veel wordt gebruikt, maar als het op legacy systemen wordt gevonden, vormt het een risico.
SQL-injectie is een aanvalstechniek waarmee aanvallers SQL-query's kunnen manipuleren om toegang te krijgen tot of gegevens in een database te wijzigen.
Voer penetratietesten uit of gebruik tools voor het scannen van kwetsbaarheden om te identificeren of het '/search' pad vatbaar is voor SQL-injectie.
Dit betekent dat de ontwikkelaar geen update heeft uitgebracht om de kwetsbaarheid te corrigeren, wat handmatige mitigerende maatregelen vereist.
Het is een techniek die wordt gebruikt wanneer de database geen expliciete fouten teruggeeft en de aanvaller informatie moet afleiden uit boolean antwoorden of timing.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.