Система отслеживания гарантий 11.06.3 содержит уязвимость внедрения SQL, которая позволяет злоумышленникам выполнять произвольные запросы SQL путем внедрения вредоносного кода через параметры POST txtCustomerCode, txtCustomerName и txtPhone в SearchCustomer.php. Злоумышленники могут отправлять созданные операторы SQL с помощью UNION SELECT для извлечения конфиденциальной информации о базе данных, включая имена пользователей, имена баз данных и сведения о версии.
Показать оригинальное описание (EN)
Warranty Tracking System 11.06.3 contains an SQL injection vulnerability that allows attackers to execute arbitrary SQL queries by injecting malicious code through the txtCustomerCode, txtCustomerName, and txtPhone POST parameters in SearchCustomer.php. Attackers can submit crafted SQL statements using UNION SELECT to extract sensitive database information including usernames, database names, and version details.
Характеристики атаки
Последствия
Строка CVSS v4.0