SIM-PKH 2.4.1 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the 'id' parameter. Attackers can send GET requests to /admin/media.php with module=pengurus and act=editpengurus parameters containing SQL UNION statements to extract database information including usernames, database names, and version details.
SIM-PKH 2.4.1 contains an SQL injection vulnerability in the admin media.php endpoint that allows authenticated attackers to execute arbitrary SQL queries through the 'id' parameter. Attackers can extract sensitive database information including usernames, database names, and version details using UNION-based SQL injection techniques.
يؤثر هذا الضعف على نظام SIM-PKH الإصدار 2.4.1 حيث يمكن للمهاجمين المصرحين الوصول إلى لوحة المسؤول تنفيذ استعلامات SQL عشوائية عبر معامل 'id' في ملف media.php. يتيح الاستغلال استخراج بيانات حساسة من قاعدة البيانات مما قد يؤدي إلى كشف معلومات النظام والمستخدمين.
نظام SIM-PKH الإصدار 2.4.1 يحتوي على ثغرة حقن SQL في نقطة نهاية وسائط المسؤول تسمح للمهاجمين المصرحين بتنفيذ استعلامات SQL عشوائية. يمكن للمهاجمين استخراج معلومات حساسة من قاعدة البيانات بما في ذلك أسماء المستخدمين وأسماء قواعد البيانات وتفاصيل الإصدار.
Upgrade SIM-PKH to version 2.4.2 or later immediately. Implement input validation and parameterized queries for all database operations. Apply Web Application Firewall (WAF) rules to detect and block SQL injection attempts. Restrict admin panel access to trusted IP addresses and enforce strong authentication mechanisms. Conduct a security audit to identify if the vulnerability was exploited.
قم بترقية SIM-PKH إلى الإصدار 2.4.2 أو أحدث على الفور. طبق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع عمليات قاعدة البيانات. طبق قواعد جدار حماية تطبيقات الويب لكشف ومنع هجمات حقن SQL. قيد الوصول إلى لوحة المسؤول على عناوين IP الموثوقة وفرض آليات المصادقة القوية. أجر تدقيقًا أمنيًا للتحقق من استغلال الثغرة.