Clinic Pro содержит уязвимость внедрения SQL, которая позволяет злоумышленникам, прошедшим проверку подлинности, манипулировать запросами к базе данных, внедряя код SQL через параметр месяца. Злоумышленники могут отправлять POST-запросы к конечной точке Monthly_expense_overview со специально созданными значениями месяца, используя логические методы «слепого», «слепого» на основе времени или методы SQL-инъекции на основе ошибок для извлечения конфиденциальной информации из базы данных.
Показать оригинальное описание (EN)
Clinic Pro contains a SQL injection vulnerability that allows authenticated attackers to manipulate database queries by injecting SQL code through the month parameter. Attackers can send POST requests to the monthly_expense_overview endpoint with crafted month values using boolean-based blind, time-based blind, or error-based SQL injection techniques to extract sensitive database information.
Характеристики атаки
Последствия
Строка CVSS v4.0