MyT-PM 1.5.1 содержит уязвимость внедрения SQL, которая позволяет злоумышленникам, прошедшим проверку подлинности, выполнять произвольные запросы SQL, внедряя вредоносный код через параметр Charge[group_total]. Злоумышленники могут отправлять созданные запросы POST к конечной точке /charge/admin с полезными нагрузками на основе ошибок, слепых запросов на основе времени или составных запросов для извлечения конфиденциальной информации из базы данных или манипулирования данными.
Показать оригинальное описание (EN)
MyT-PM 1.5.1 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the Charge[group_total] parameter. Attackers can submit crafted POST requests to the /charge/admin endpoint with error-based, time-based blind, or stacked query payloads to extract sensitive database information or manipulate data.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Myt_Project Myt
cpe:2.3:a:myt_project:myt:1.5.1:*:*:*:*:*:*:*
|
— | — |