Tradebox 5.4 содержит уязвимость внедрения SQL, которая позволяет злоумышленникам, прошедшим проверку подлинности, манипулировать запросами к базе данных, внедряя код SQL через параметр символа. Злоумышленники могут отправлять POST-запросы к конечной точке ежемесячно_депозит со значениями вредоносных символов, используя методы слепого логического, слепого по времени, ошибок или объединения для извлечения конфиденциальной информации из базы данных.
Показать оригинальное описание (EN)
Tradebox 5.4 contains an SQL injection vulnerability that allows authenticated attackers to manipulate database queries by injecting SQL code through the symbol parameter. Attackers can send POST requests to the monthly_deposit endpoint with malicious symbol values using boolean-based blind, time-based blind, error-based, or union-based SQL injection techniques to extract sensitive database information.
Характеристики атаки
Последствия
Строка CVSS v4.0