Blind SQL-Injektion in Ultimate Project Manager CRM PRO von CodeXCube (CVE-2020-37004)
⚠️ CVE-Referenzen:
CVE-2020-37004
Zusammenfassung
Eine kritische Schwachstelle in der Version 2.0.5 des Ultimate Project Manager CRM PRO von CodeXCube ermöglicht Angreifern über den "/frontend/get_article_suggestion/"-Endpunkt Blind-SQL-Injektionen durchzuführen. Dadurch können sensible Informationen wie Nutzernamen und Passwort-Hashes aus der tbl_users-Datenbanktabelle extrahiert werden. Benutzer und Administratoren dieser Plattform sollten umgehend Gegenmaßnahmen ergreifen, um das Risiko von Zugangsdaten-Diebstahl zu minimieren.
Codexcube - Ultimate Project Manager Crm Pro - NONE - CVE-2020-37004.
The Ultimate Project Manager CRM PRO 2.0.5 is susceptible to a blind SQL injection vulnerability. This flaw can be exploited through the /frontend/get_article_suggestion/ endpoint, allowing malicious users to craft specially designed search parameters. By utilizing boolean-based inference techniques, attackers can guess and extract sensitive information, including usernames and password hashes, from the tbl_users database table. It is crucial for users and administrators of this platform to implement appropriate security measures to mitigate the risk of credential exposure.
BADGES: 👾 EXPLOITED | 🟡 PoC | SecurityVulnerability.io
Quelle: securityvulnerability.io