Piwigo — это веб-приложение для создания фотогалереи с открытым исходным кодом. До версии 16.3.0 в методе API веб-службы pwg.users.getList существовала уязвимость SQL-инъекции. Параметр фильтра напрямую объединяется с запросом SQL без надлежащей очистки, что позволяет администраторам, прошедшим проверку подлинности, выполнять произвольные команды SQL.
Эта проблема исправлена в версии 16.3.0.
Показать оригинальное описание (EN)
Piwigo is an open source photo gallery application for the web. Prior to version 16.3.0, a SQL Injection vulnerability exists in the pwg.users.getList Web Service API method. The filter parameter is directly concatenated into a SQL query without proper sanitization, allowing authenticated administrators to execute arbitrary SQL commands. This issue has been patched in version 16.3.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Piwigo Piwigo
cpe:2.3:a:piwigo:piwigo:*:*:*:*:*:*:*:*
|
— |
16.3.0
|