Zeeways Matrimony CMS содержит множество уязвимостей SQL-инъекций, которые позволяют неаутентифицированным злоумышленникам манипулировать запросами к базе данных через конечную точку Profile_list. Злоумышленники могут внедрить код SQL с помощью параметров up_cast, s_mother и s_religion для извлечения конфиденциальной информации из базы данных с использованием методов, основанных на времени или ошибках.
Показать оригинальное описание (EN)
Zeeways Matrimony CMS contains multiple SQL injection vulnerabilities that allow unauthenticated attackers to manipulate database queries through the profile_list endpoint. Attackers can inject SQL code via the up_cast, s_mother, and s_religion parameters to extract sensitive database information using time-based or error-based techniques.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0