Fishing Reservation System 7.5 содержит множество уязвимостей для удаленного SQL-инъекций в admin.php, cars.php и Calendar.php, которые позволяют злоумышленникам внедрять вредоносные команды SQL. Злоумышленники могут использовать уязвимые параметры, такие как uid, pid, type, m, y и код, чтобы скомпрометировать систему управления базами данных и веб-приложение без взаимодействия с пользователем.
Показать оригинальное описание (EN)
Fishing Reservation System 7.5 contains multiple remote SQL injection vulnerabilities in admin.php, cart.php, and calendar.php that allow attackers to inject malicious SQL commands. Attackers can exploit vulnerable parameters like uid, pid, type, m, y, and code to compromise the database management system and web application without user interaction.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 4
https://fishingreservationsystem.com/index.html
disclosure@vulncheck.com
https://www.exploit-db.com/exploits/48417
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/fishing-reservation-system-uid-sql-injecti…
disclosure@vulncheck.com
https://www.vulnerability-lab.com/get_content.php?id=2243
disclosure@vulncheck.com