Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01967

Опубликовано: 20 мар. 2023
Источник: fstec
CVSS3: 7.3
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость сценария /ecommerce/admin/settings/setDiscount.php системы электронной коммерции SourceCodester E-Commerce System связана с отсутствием защиты структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

SourceCodester E-Commerce System

Версия ПО

1.0 (SourceCodester E-Commerce System)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- валидация входных данных: перед выполнением SQL-запроса следует проверять входные данные на соответствие ожидаемому формату и значениям;
- ограничение прав доступа: ограничение прав доступа к базе данных для различных пользователей.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 18%
0.00056
Низкий

7.3 High

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-1505

CVSS3: 5
nvd
почти 3 года назад

A vulnerability, which was classified as critical, has been found in SourceCodester E-Commerce System 1.0. This issue affects some unknown processing of the file /ecommerce/admin/settings/setDiscount.php. The manipulation of the argument id with the input 201737 AND (SELECT 8973 FROM (SELECT(SLEEP(5)))OoAD) leads to sql injection. The attack may be initiated remotely. The complexity of an attack is rather high. The exploitation is known to be difficult. The exploit has been disclosed to the public and may be used. The identifier VDB-223409 was assigned to this vulnerability.

github логотип

GHSA-8w38-x469-hfxf

CVSS3: 9.8
github
почти 3 года назад

A vulnerability, which was classified as critical, has been found in SourceCodester E-Commerce System 1.0. This issue affects some unknown processing of the file /ecommerce/admin/settings/setDiscount.php. The manipulation of the argument id with the input 201737 AND (SELECT 8973 FROM (SELECT(SLEEP(5)))OoAD) leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-223409 was assigned to this vulnerability.

EPSS

Процентиль: 18%
0.00056
Низкий

7.3 High

CVSS3

4.6 Medium

CVSS2