Vianeos OctoPUS 5 содержит уязвимость слепого внедрения SQL-кода на основе времени в параметре «login_user» во время запросов аутентификации. Злоумышленники могут воспользоваться этой уязвимостью, создавая вредоносные запросы POST со специально созданными полезными нагрузками SQL, которые запускают функции сна базы данных для извлечения информации.
Показать оригинальное описание (английский)
Vianeos OctoPUS 5 contains a time-based blind SQL injection vulnerability in the 'login_user' parameter during authentication requests. Attackers can exploit this vulnerability by crafting malicious POST requests with specially constructed SQL payloads that trigger database sleep functions to extract information.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Не требуются
Права не нужны
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Низкое
Частичная модификация
Влияние на доступность
Нет
Нет отказа в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N