Krytyczna luka SQL Injection w Nur-Alam39 bus-ticket w pliku bus_info.php
Opis krytycznej luki SQL Injection w Nur-Alam39 bus-ticket umożliwiającej zdalny dostęp do bazy danych. Zalecenia dla administratorów i wpływ na biznes.
- CVSS
- 9.3 CRITICAL
- EPSS
- 28.56%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Aplikacja Nur-Alam39 bus-ticket zawiera krytyczną lukę SQL Injection w pliku bus_info.php, gdzie parametr busid jest wstrzykiwany bezpośrednio do zapytania SQL bez odpowiedniej walidacji. Atakujący może zdalnie, bez uwierzytelnienia, wykonać dowolne zapytania SQL, uzyskując dostęp do danych bazy bus_service.
Wpływ biznesowy
Luka umożliwia zdalne wykonanie nieautoryzowanych zapytań SQL na bazie danych, co może prowadzić do ujawnienia poufnych informacji lub modyfikacji danych. Ponieważ aplikacja łączy się z bazą jako użytkownik root bez hasła, potencjalne szkody są znacznie powiększone. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo ją adresować, aby zapobiec poważnym naruszeniom bezpieczeństwa.
Rekomendowane działania administratora
Zaleca się natychmiastową weryfikację i aktualizację aplikacji do wersji zawierającej poprawkę od dostawcy. W międzyczasie ograniczyć dostęp do aplikacji, monitorować logi pod kątem podejrzanych zapytań SQL oraz rozważyć zastosowanie zapór aplikacyjnych (WAF) blokujących podejrzane żądania. Należy także zmienić konfigurację bazy danych, aby nie używać konta root bez hasła i stosować zasadę najmniejszych uprawnień.