Уязвимость нереляционного внедрения SQL (NoSQLi) в веб-приложении Wakyma, в частности в конечной точке vets.wakyma.com/pets/print-tags. Эта уязвимость может позволить аутентифицированному пользователю изменить POST-запрос к затронутой конечной точке с целью внедрения команд NoSQL, что позволит им перечислять как имена домашних животных, так и имена владельцев.
Показать оригинальное описание (EN)
Non-relational SQL injection vulnerability (NoSQLi) in the Wakyma web application, specifically in the endpoint 'vets.wakyma.com/pets/print-tags'. This vulnerability could allow an authenticated user to alter a POST request to the affected endpoint for the purpose of injecting NoSQL commands, allowing them to list both pets and owner names.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wakyma Wakyma
cpe:2.3:a:wakyma:wakyma:-:*:*:*:*:*:*:*
|
— | — |