Grocery Crud 1.6.4 содержит уязвимость SQL-инъекции в параметре order_by, которая позволяет удаленным злоумышленникам манипулировать запросами к базе данных. Злоумышленники могут внедрить вредоносный код SQL через параметр order_by[] в POST-запросах к конечной точке ajax_list, чтобы потенциально извлечь или изменить информацию базы данных.
Показать оригинальное описание (английский)
Grocery Crud 1.6.4 contains a SQL injection vulnerability in the order_by parameter that allows remote attackers to manipulate database queries. Attackers can inject malicious SQL code through the order_by[] parameter in POST requests to the ajax_list endpoint to potentially extract or modify database information.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Не требуются
Права не нужны
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Низкое
Частичная модификация
Влияние на доступность
Нет
Нет отказа в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N