ResourceSpace 8.6 содержит уязвимость внедрения SQL, которая позволяет злоумышленникам, прошедшим проверку подлинности, выполнять произвольные запросы SQL, внедряя вредоносный код через параметр ключевых слов в файле Collection_edit.php. Злоумышленники могут отправлять запросы POST со специально созданными полезными данными SQL в поле ключевых слов для извлечения конфиденциальной информации базы данных, включая имена схем, учетные данные пользователя и другие конфиденциальные данные.
Показать оригинальное описание (EN)
ResourceSpace 8.6 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the keywords parameter in collection_edit.php. Attackers can submit POST requests with crafted SQL payloads in the keywords field to extract sensitive database information including schema names, user credentials, and other confidential data.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Montala Resourcespace
cpe:2.3:a:montala:resourcespace:8.6:*:*:*:*:*:*:*
|
— | — |