平台
php
组件
querymine-sms
修复版本
7.0.1
在QueryMine sms的0.0.0到7ab5a9ea版本中发现了一个SQL注入漏洞。该漏洞位于admin/deletecourse.php文件中,通过操纵ID参数可以触发SQL注入攻击。该漏洞可以远程利用,并且攻击代码已公开,可能导致未经授权的数据访问和修改。QueryMine sms采用滚动发布模式,因此未提供受影响或更新版本的具体信息。
在 QueryMine sms 的版本 7ab5a9ea196209611134525ffc18de25c57d9593 之前,已发现 SQL 注入漏洞。此漏洞影响 admin/deletecourse.php 文件中的未知函数,特别是 GET 请求参数处理程序。攻击者可以通过操纵 ID 参数来利用此弱点,从而允许执行恶意 SQL 代码。利用是远程的,这意味着攻击者可以从任何具有网络访问权限的位置发起攻击。利用的公开可用性大大增加了攻击的风险。由于 QueryMine sms 使用滚动发布模型,因此可能无法以传统方式提供特定版本的修复程序。建议监控供应商更新并在可用时应用修复程序。
SQL 注入漏洞位于 admin/deletecourse.php 文件中,并通过在 GET 请求中操纵 ID 参数触发。攻击者可以将恶意 SQL 代码注入到此参数中,然后将其对数据库执行。利用是远程的,不需要访问服务器。利用的公开可用性使得具有不同技术水平的攻击者更容易利用它。成功的利用可能导致泄露机密信息、修改数据和系统被破坏。缺乏特定的补丁解决方案增加了应用最新更新并实施额外安全措施的紧迫性。
Organizations utilizing QueryMine sms for SMS management, particularly those handling sensitive customer data or operating in regulated industries, are at significant risk. Shared hosting environments where multiple users share the same QueryMine instance are also particularly vulnerable, as a compromise of one user's account could potentially expose data for all users.
• linux / server:
journalctl -u querymine -g "SQL injection"• generic web:
curl -I 'http://your-querymine-instance/admin/deletecourse.php?id='; # Check for SQL errors in response headersdisclosure
漏洞利用状态
EPSS
0.04% (11% 百分位)
CISA SSVC
由于 QueryMine sms 的滚动发布模型,因此不提供特定的补丁解决方案。主要缓解措施是,在可用时应用最新的 QueryMine sms 更新。此外,建议实施额外的安全措施,例如验证和清理所有用户输入、将数据库帐户应用于最小权限原则以及监控网络流量中的可疑活动。网络分段可以限制潜在利用的影响。评估应用程序和数据库安全配置以识别和修复任何其他潜在漏洞至关重要。实施 Web 应用程序防火墙 (WAF) 可以帮助阻止已知的攻击。
Actualice a la última versión disponible de QueryMine sms. Debido al modelo de lanzamiento continuo, consulte la documentación oficial o contacte con el proveedor para obtener información sobre las versiones específicas afectadas y las actualizaciones disponibles.
漏洞分析和关键警报直接发送到您的邮箱。
SQL 注入是一种安全漏洞,允许攻击者在数据库中执行恶意 SQL 代码。
此漏洞可能允许攻击者访问机密信息、修改数据或控制系统。
您应该尽快更新到 QueryMine sms 的最新可用版本。您还应实施额外的安全措施,例如输入验证和网络流量监控。
由于 QueryMine sms 的滚动发布模型,因此不提供特定的补丁。更新到最新版本是最佳缓解措施。
您可以在漏洞数据库(例如 CVE(通用漏洞披露))中找到有关此漏洞的更多信息。
CVSS 向量