ownDMS 4.7 содержит уязвимость внедрения SQL, которая позволяет неаутентифицированным злоумышленникам выполнять произвольные запросы SQL, внедряя вредоносный код через параметр IMG. Злоумышленники могут отправлять запросы GET к pdfstream.php, imagestream.php или Anyfilestream.php со специально созданными полезными данными SQL в параметре IMG для извлечения конфиденциальной информации о базе данных, включая версию и имена баз данных.
Показать оригинальное описание (EN)
ownDMS 4.7 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the IMG parameter. Attackers can send GET requests to pdfstream.php, imagestream.php, or anyfilestream.php with crafted SQL payloads in the IMG parameter to extract sensitive database information including version and database names.
Характеристики атаки
Последствия
Строка CVSS v4.0