SuiteCRM 7.10.7 содержит уязвимость внедрения SQL-кода на основе времени в параметре записи действия DetailView модуля «Пользователи», которая позволяет злоумышленникам, прошедшим проверку подлинности, манипулировать запросами к базе данных. Злоумышленники могут добавлять код SQL к параметру записи в запросах GET к конечной точке index.php для извлечения конфиденциальной информации из базы данных с помощью методов слепого внедрения SQL на основе времени.
Показать оригинальное описание (EN)
SuiteCRM 7.10.7 contains a time-based SQL injection vulnerability in the record parameter of the Users module DetailView action that allows authenticated attackers to manipulate database queries. Attackers can append SQL code to the record parameter in GET requests to the index.php endpoint to extract sensitive database information through time-based blind SQL injection techniques.
Характеристики атаки
Последствия
Строка CVSS v4.0