В PHPGurukul Cyber Cafe Management System v1.0 в конечной точке adminprofile.php существует уязвимость, связанная со слепым внедрением SQL-кода на основе времени. Приложению не удается должным образом очистить вводимые пользователем данные через параметр adminname, что позволяет злоумышленникам, прошедшим проверку подлинности, внедрять произвольные выражения SQL.
Показать оригинальное описание (английский)
A time-based blind SQL Injection vulnerability exists in PHPGurukul Cyber Cafe Management System v1.0 within the adminprofile.php endpoint. The application fails to properly sanitize user-supplied input provided via the adminname parameter, allowing authenticated attackers to inject arbitrary SQL expressions.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Высокое
Полная модификация
Влияние на доступность
Высокое
Полный отказ в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H