anonhaven

CVE-2018-25208

HIGH CVSS 4.0: 8,8 EPSS 0.06%
Обновлено 26 марта 2026
qdPM
Параметр Значение
CVSS 8,8 (HIGH)
Тип уязвимости CWE-89 (SQL-инъекция)
Поставщик qdPM
Публичный эксплойт Да

qdPM 9.1 содержит уязвимость внедрения SQL, которая позволяет неаутентифицированным злоумышленникам извлекать информацию из базы данных путем внедрения кода SQL через параметры filter_by. Злоумышленники могут отправлять вредоносные запросы POST к конечной точке timeReport со специально созданными параметрами filter_by[CommentCreatedFrom] и filter_by[CommentCreatedTo] для выполнения произвольных SQL-запросов и получения конфиденциальных данных.

Показать оригинальное описание (EN)

qdPM 9.1 contains an SQL injection vulnerability that allows unauthenticated attackers to extract database information by injecting SQL code through filter_by parameters. Attackers can submit malicious POST requests to the timeReport endpoint with crafted filter_by[CommentCreatedFrom] and filter_by[CommentCreatedTo] parameters to execute arbitrary SQL queries and retrieve sensitive data.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-89 SQL Injection (SQL-инъекция)

Ссылки 4

http://qdpm.net
disclosure@vulncheck.com
http://qdpm.net/download-qdpm-free-project-management
disclosure@vulncheck.com
https://www.exploit-db.com/exploits/45767
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/qdpm-sql-injection-via-filter-by-parameters
disclosure@vulncheck.com
Share Post Share Share Share