Adianti Framework 5.5.0 и 5.6.0 содержит уязвимость внедрения SQL, которая позволяет прошедшим проверку подлинности пользователям манипулировать запросами к базе данных путем внедрения кода SQL через поле имени в SystemProfileForm. Злоумышленники могут отправить созданные операторы SQL в конечную точку редактирования профиля, чтобы изменить учетные данные пользователя и получить административный доступ.
Показать оригинальное описание (EN)
Adianti Framework 5.5.0 and 5.6.0 contains an SQL injection vulnerability that allows authenticated users to manipulate database queries by injecting SQL code through the name field in SystemProfileForm. Attackers can submit crafted SQL statements in the profile edit endpoint to modify user credentials and gain administrative access.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0