CVE

Vulnerabilidad en el parámetro id del sistema Online Enrollment Management System (CVE-2021-44599)

Severidad:
ALTA
Type:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
23/12/2021
Última modificación:
04/01/2022

Descripción

El parámetro id del sistema Online Enrollment Management System versión 1.0, parece ser vulnerable a ataques de inyección SQL. Una carga útil diseñada inyecta una subconsulta SQL que llama a la función load_file de MySQL con una ruta de archivo UNC que hace referencia a una URL en un dominio externo. La aplicación interactuó con ese dominio, indicando que la consulta SQL inyectada fue ejecutada. El atacante puede recuperar información confidencial de todos los usuarios de este sistema

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:online_enrollment_management_system_project:online_enrollment_management_system:1.0:*:*:*:*:*:*:*