Platform
other
Component
school-manage-system
Opgelost in
2020.0.1
CVE-2020-10505 beschrijft een SQL Injection kwetsbaarheid in het School Manage System, ontwikkeld door ALLE INFORMATION CO., LTD. Deze kwetsbaarheid stelt aanvallers in staat om gevoelige database-informatie te extraheren. De kwetsbaarheid treft versies van het systeem vóór 2020. Een update naar versie 2020 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze SQL Injection kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot de database van het School Manage System. Aanvallers kunnen schema-informatie, gebruikersnamen en wachtwoorden ophalen, wat kan resulteren in volledige controle over de database en het systeem. Dit kan leiden tot datalekken, manipulatie van gegevens en verstoring van de schooladministratie. De impact is aanzienlijk, aangezien de database cruciale informatie bevat over studenten, docenten en andere schoolgerelateerde gegevens.
Er is geen publieke exploitatie van CVE-2020-10505 gemeld op het moment van schrijven. De kwetsbaarheid is openbaar gemaakt op 15 april 2020. De ernst van de kwetsbaarheid (CVSS 9.8) duidt op een potentieel hoog risico, maar de afwezigheid van publieke exploits suggereert dat deze momenteel niet actief wordt uitgebuit. Controleer de NVD-database voor updates.
Schools and educational institutions utilizing the School Manage System are at significant risk. Organizations relying on older, unpatched versions of the system, particularly those with limited security resources or those running the system on shared hosting environments, are especially vulnerable. Any deployment of School Manage System before version 2020 is considered at risk.
• linux / server: Monitor web server access logs for unusual SQL queries containing keywords like UNION, SELECT, INSERT, UPDATE, DELETE. Use journalctl to review application logs for SQL errors or suspicious activity.
journalctl -u school_manage_system -f | grep "SQL error"• generic web: Use curl to test endpoints for SQL injection vulnerabilities by injecting malicious SQL code into input fields. Examine response headers for SQL error messages.
curl -d 'username=';'password=UNION SELECT version(),user(),database()--' http://schoolmanagesystem/login.phpdisclosure
Exploit Status
EPSS
0.31% (54% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2020-10505 is het upgraden van het School Manage System naar versie 2020 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de database en het implementeren van strenge inputvalidatie op alle invoervelden. Het monitoren van database logs op verdachte SQL-query's kan ook helpen bij het detecteren van pogingen tot exploitatie. Na de upgrade, controleer de database logs op ongebruikelijke activiteit om te bevestigen dat de kwetsbaarheid is verholpen.
Werk School Manage System bij naar versie 2020 of hoger. Dit corrigeert de SQL Injection kwetsbaarheid.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2020-10505 is a critical SQL Injection vulnerability affecting School Manage System versions before 2020, allowing attackers to potentially extract sensitive data from the database.
If you are using School Manage System versions prior to 2020, you are potentially affected by this vulnerability. Immediate action is required.
Upgrade to School Manage System version 2020 or later. As a temporary workaround, implement a WAF to filter malicious SQL injection attempts.
While no confirmed active exploitation campaigns have been publicly linked, the vulnerability's severity and ease of exploitation suggest a potential risk.
Refer to the vendor's advisory or security bulletin for School Manage System, typically available on the ALLE INFORMATION CO., LTD. website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.