В системе управления кредитами SourceCodester версии 1.0 существует уязвимость, связанная со слепым внедрением SQL-кода. Уязвимость находится в файле ajax.php (в частности, в действии save_loan). Приложению не удается должным образом очистить вводимые пользователем данные, передаваемые в параметр «borrower_id» в запросе POST, что позволяет злоумышленнику, прошедшему проверку подлинности, внедрить вредоносные команды SQL.
Показать оригинальное описание (EN)
A Blind SQL Injection vulnerability exists in SourceCodester Loan Management System v1.0. The vulnerability is located in the ajax.php file (specifically the save_loan action). The application fails to properly sanitize user input supplied to the "borrower_id" parameter in a POST request, allowing an authenticated attacker to inject malicious SQL commands.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Oretnom23 Loan_Management_System
cpe:2.3:a:oretnom23:loan_management_system:1.0:*:*:*:*:*:*:*
|
— | — |