CVE-2018-25188: SQL-Injektion in Webiness Inventory 2.3 ermöglicht Datenbankzugriff
⚠️ CVE-Referenzen:
CVE-2018-25188
Zusammenfassung
Eine kritische SQL-Injektionslücke in der Version 2.3 des Webiness Inventory-Systems erlaubt es unauthentifizierten Angreifern, beliebige SQL-Abfragen auszuführen und so sensible Daten wie Benutzernamen, Datenbankdetails und Versionsinformationen abzugreifen. Admins sollten dringend ein Update auf eine neuere, gepatche Version vornehmen, um das System vor Kompromittierung zu schützen.
Webiness Inventory 2.3 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the order parameter. Attackers can send POST requests to the WsModelGrid.php endpoint with crafted SQL payloads to extract sensitive database information including usernames, databases, and version details.
Quelle: app.opencve.io