Emlog — это система создания веб-сайтов с открытым исходным кодом. В версиях 2.6.2 и более ранних версиях в файле include/model/tag_model.php в строке 168 существует уязвимость, связанная с внедрением SQL-кода. Функция updateTagName() напрямую интерполирует вводимые пользователем данные в строку запроса SQL без использования параметризованных запросов или правильного экранирования ($this->db->escape_string()), что делает ее уязвимой для атак с внедрением SQL-кода.
На момент публикации общедоступных патчей нет.
Показать оригинальное описание (EN)
Emlog is an open source website building system. In versions 2.6.2 and prior, a SQL injection vulnerability exists in include/model/tag_model.php at line 168. The updateTagName() function directly interpolates user input into the SQL query string without using parameterized queries or proper escaping ($this->db->escape_string()), making it vulnerable to SQL injection attacks. At time of publication, there are no publicly available patches.
Характеристики атаки
Последствия
Строка CVSS v3.1