OpenSTAManager — это программное обеспечение с открытым исходным кодом для технической помощи и выставления счетов. В версии 2.9.8 и более ранних версиях существует уязвимость, связанная с внедрением SQL-кода, в конечной точке ajax_complete.php при обработке операции get_sedi. Злоумышленник, прошедший проверку подлинности, может внедрить вредоносный код SQL через параметр idanagrafica, что приведет к несанкционированному доступу к базе данных. На момент публикации известных патчей не существует.
Показать оригинальное описание (английский)
OpenSTAManager is an open source management software for technical assistance and invoicing. In version 2.9.8 and prior, a SQL Injection vulnerability exists in the ajax_complete.php endpoint when handling the get_sedi operation. An authenticated attacker can inject malicious SQL code through the idanagrafica parameter, leading to unauthorized database access. At time of publication, no known patch exists.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X