Homey BNB V4 содержит уязвимость внедрения SQL, которая позволяет неаутентифицированным злоумышленникам манипулировать запросами к базе данных путем внедрения кода SQL через параметр hosting_id. Злоумышленники могут отправлять GET-запросы на конечную точку Rooms/ajax_refresh_subtotal с вредоносными значениями Hosting_id, чтобы извлечь конфиденциальную информацию из базы данных или вызвать отказ в обслуживании.
Показать оригинальное описание (EN)
Homey BNB V4 contains a SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the hosting_id parameter. Attackers can send GET requests to the rooms/ajax_refresh_subtotal endpoint with malicious hosting_id values to extract sensitive database information or cause denial of service.
Характеристики атаки
Последствия
Строка CVSS v4.0