CVE-2019-25391: Kritische SQL-Injection-Lücke in Ashop Shopping Cart Software
⚠️ CVE-Referenzen:
CVE-2019-25391
Zusammenfassung
Die Ashop Shopping Cart Software enthält eine zeitbasierte, blinde SQL-Injection-Schwachstelle, die es Angreifern ermöglicht, über den Parameter "blacklistitemid" Datenbankabfragen zu manipulieren. Angreifer können gezielt präparierte SQL-Payloads mit SLEEP-Funktionen an den Admin-Endpunkt "admin/bannedcustomers.php" senden, um so sensible Daten aus der Datenbank auszulesen.
Ashop Shopping Cart Software contains a time-based blind SQL injection vulnerability that allows attackers to manipulate database queries through the blacklistitemid parameter. Attackers can send POST requests to the admin/bannedcustomers.php endpoint with crafted SQL payloads using SLEEP functions to extract sensitive database information.
Quelle: app.opencve.io