Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05730

Опубликовано: 14 июл. 2024
Источник: fstec
CVSS3: 6.3
CVSS2: 6.5
EPSS Низкий

Описание

Уязвимость файла setgeneral.php системы управления швейным цехом Tailoring Management System (TMS) связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный SQL-код, получить несанкционированный доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании путем отправки специально созданных запросов с параметрами sitename, email, mobile, sms и currency

Вендор

IT SOURCECODE

Наименование ПО

Tailoring Management System

Версия ПО

1.0 (Tailoring Management System)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование подготовленных операторов и привязки параметров с целью отделения SQL-код от данных пользовательского ввода;
- использование проверки и фильтрации входных параметров;
- использование межсетевого экрана уровня приложений (WAF) для фильтрации пользовательского ввода;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 17%
0.00056
Низкий

6.3 Medium

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-6735

CVSS3: 6.3
nvd
больше 1 года назад

A vulnerability was found in itsourcecode Tailoring Management System 1.0. It has been declared as critical. This vulnerability affects unknown code of the file setgeneral.php. The manipulation of the argument sitename/email/mobile/sms/currency leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-271456.

github логотип

GHSA-q85c-cw3r-rq4r

CVSS3: 6.3
github
больше 1 года назад

A vulnerability was found in itsourcecode Tailoring Management System 1.0. It has been declared as critical. This vulnerability affects unknown code of the file setgeneral.php. The manipulation of the argument sitename/email/mobile/sms/currency leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-271456.

EPSS

Процентиль: 17%
0.00056
Низкий

6.3 Medium

CVSS3

6.5 Medium

CVSS2