Kados R10 GreenBee contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the release_id parameter of boards_buttons/update_release.php. The release_id value is concatenated directly into SQL statements without sanitization, allowing attackers to send a crafted GET request with a UNION-based payload to extract sensitive database information including the current user, database name, and DBMS version.
Kados R10 GreenBee contains an unauthenticated SQL injection vulnerability in the boards_buttons/update_release.php endpoint via the release_id parameter. Attackers can execute arbitrary SQL queries and extract sensitive database information without authentication.
ثغرة حقن SQL في تطبيق Kados R10 GreenBee تسمح للمهاجمين غير المصرح لهم بتنفيذ استعلامات SQL عشوائية من خلال معامل release_id في ملف update_release.php. يمكن للمهاجمين استخدام حمولات قائمة على UNION لاستخراج معلومات حساسة من قاعدة البيانات مثل اسم المستخدم الحالي واسم قاعدة البيانات وإصدار نظام إدارة قواعد البيانات.
تطبيق Kados R10 GreenBee يحتوي على ثغرة حقن SQL غير مصرح بها في نقطة نهاية boards_buttons/update_release.php عبر معامل release_id. يمكن للمهاجمين تنفيذ استعلامات SQL عشوائية واستخراج معلومات حساسة من قاعدة البيانات بدون مصادقة.
Immediately update Kados R10 GreenBee to the latest patched version. Implement input validation and parameterized queries for all database operations. Apply Web Application Firewall (WAF) rules to detect and block SQL injection attempts. Restrict access to the boards_buttons directory and implement authentication checks before processing any requests.
قم بتحديث Kados R10 GreenBee إلى أحدث إصدار مصحح فوراً. طبق التحقق من صحة المدخلات والاستعلامات المعاملية لجميع عمليات قاعدة البيانات. طبق قواعد جدار حماية تطبيقات الويب لكشف ومنع هجمات حقن SQL. قيد الوصول إلى مجلد boards_buttons وطبق فحوصات المصادقة قبل معالجة أي طلبات.