The Open ISES Project 3.30A contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the ticket_id parameter. Attackers can send GET requests to add_facnote.php with crafted SQL payloads to extract sensitive database information including version details and other data.
CVE-2018-25404 is an SQL injection vulnerability in Open ISES Project 3.30A that allows unauthenticated attackers to execute arbitrary SQL queries through the ticket_id parameter in add_facnote.php. Attackers can extract sensitive database information and potentially compromise the entire database system.
تحتوي نسخة Open ISES Project 3.30A على ثغرة حقن SQL خطيرة في ملف add_facnote.php تسمح بتنفيذ استعلامات SQL عشوائية دون المصادقة. يمكن للمهاجمين استخدام معامل ticket_id لحقن أكواد ضارة واستخراج معلومات حساسة من قاعدة البيانات بما فيها بيانات الإصدار والمعلومات الأخرى.
CVE-2018-25404 هو ثغرة حقن SQL في Open ISES Project 3.30A تسمح للمهاجمين غير المصرح لهم بتنفيذ استعلامات SQL عشوائية من خلال معامل ticket_id في add_facnote.php. يمكن للمهاجمين استخراج معلومات حساسة من قاعدة البيانات والتسبب في اختراق النظام.
Immediately upgrade Open ISES Project to version 3.30B or later. Implement input validation and parameterized queries for all database operations. Apply Web Application Firewall (WAF) rules to detect and block SQL injection attempts. Conduct a security audit of the database for unauthorized access or data exfiltration.
قم بترقية Open ISES Project فوراً إلى الإصدار 3.30B أو أحدث. طبق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع عمليات قاعدة البيانات. طبق قواعد جدار حماية تطبيقات الويب لكشف محاولات حقن SQL. أجرِ تدقيقاً أمنياً لقاعدة البيانات للتحقق من الوصول غير المصرح به.