Критична SQL-ін'єкція в PIAF-HMS без автентифікації
Вразливість SQL-ін'єкції в PIAF-HMS дозволяє віддаленому зловмиснику виконувати довільні запити без автентифікації. Рекомендується перевірити оновлення та обмежити доступ.
- CVSS
- 9.3 CRITICAL
- EPSS
- 43.76%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
PIAF-HMS (PBX-In-A-Flash Hotel Management System) містить кілька вразливостей SQL-ін'єкції, що не потребують автентифікації. Уразливість виникає через відсутність механізму автентифікації та небезпечне використання застарілих mysql_query() без санітизації введених даних.
Бізнес-вплив
Вразливість дозволяє віддаленому зловмиснику виконувати довільні SQL-запити, що може призвести до читання, модифікації або видалення даних у базі готельної системи. Це створює серйозні ризики для цілісності та конфіденційності інформації, а також може порушити роботу бізнес-процесів, пов'язаних з управлінням готелем.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно перевірити наявність оновлень від розробника PIAF-HMS та застосувати їх. Якщо оновлень немає, слід обмежити доступ до уразливих скриптів, впровадити додаткові механізми автентифікації та фільтрації вхідних параметрів, а також ретельно аналізувати журнали доступу на предмет підозрілої активності.