OpenSTAManager — это программное обеспечение с открытым исходным кодом для технической помощи и выставления счетов. До версии 2.10.2 файлы конфронта_риге.php в различных модулях OpenSTAManager содержали уязвимость SQL-инъекции. Параметр righe, полученный через $_GET['righe'], напрямую объединяется в SQL-запрос без какой-либо очистки, параметризации или проверки.
Злоумышленник, прошедший проверку подлинности, может внедрить произвольные операторы SQL для извлечения конфиденциальных данных из базы данных, включая учетные данные пользователя, информацию о клиентах, данные счетов и любые другие сохраненные данные. Эта уязвимость исправлена в версии 2.10.2.
Показать оригинальное описание (EN)
OpenSTAManager is an open source management software for technical assistance and invoicing. Prior to 2.10.2, confronta_righe.php files across different modules in OpenSTAManager contain an SQL Injection vulnerability. The righe parameter received via $_GET['righe'] is directly concatenated into an SQL query without any sanitization, parameterization or validation. An authenticated attacker can inject arbitrary SQL statements to extract sensitive data from the database, including user credentials, customer information, invoice data and any other stored data. This vulnerability is fixed in 2.10.2.
Характеристики атаки
Последствия
Строка CVSS v3.1