CVE-2019-25495: SQL-Injektion in osCommerce 2.3.4.1 ermöglicht Datenbankzugriff
⚠️ CVE-Referenzen:
CVE-2019-25495
Zusammenfassung
In der E-Commerce-Software osCommerce 2.3.4.1 wurde eine kritische SQL-Injektions-Schwachstelle entdeckt. Unbefugte Angreifer können über den Parameter "reviews_id" in der Datei "product_reviews_write.php" böswilligen SQL-Code injizieren und so sensible Datenbankinhalte auslesen. Betreiber sollten umgehend auf eine neuere, gepatche Version von osCommerce wechseln, um diese Sicherheitslücke zu schließen.
osCommerce 2.3.4.1 contains a SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the reviews_id parameter. Attackers can send GET requests to product_reviews_write.php with malicious reviews_id values using boolean-based SQL injection payloads to extract sensitive database information.
Quelle: app.opencve.io