An out-of-band SQL injection vulnerability (OOB SQLi) has been detected in the Performance Evaluation (EDD) application developed by Gabinete Técnico de Programación. Exploiting this vulnerability in the parameter 'Id_usuario' and 'Id_evaluacion’ in ‘/evaluacion_competencias_evalua_old.aspx’, could allow an attacker to extract sensitive information from the database through external channels, without the affected application returning the data directly, compromising the confidentiality of the stored information.
An out-of-band SQL injection vulnerability exists in the Performance Evaluation (EDD) application affecting the 'Id_usuario' and 'Id_evaluacion' parameters, allowing attackers to extract sensitive database information through external channels. This vulnerability compromises data confidentiality by enabling unauthorized access to stored information without direct application response.
تم اكتشاف ثغرة حقن SQL خارج النطاق في تطبيق تقييم الأداء (EDD) الذي طورته وحدة البرمجة التقنية، حيث تؤثر على معاملات معرّف المستخدم ومعرّف التقييم في صفحة ASP.NET القديمة. يمكن للمهاجمين استغلال هذه الثغرة لاستخراج معلومات حساسة من قاعدة البيانات من خلال قنوات خارجية دون أن يعيد التطبيق البيانات مباشرة. هذا يعرض سرية المعلومات المخزنة للخطر ويسمح بالوصول غير المصرح به إلى بيانات حساسة.
ثغرة حقن SQL خارج النطاق موجودة في تطبيق تقييم الأداء (EDD) تؤثر على معاملات 'Id_usuario' و'Id_evaluacion'، مما يسمح للمهاجمين باستخراج معلومات حساسة من قاعدة البيانات عبر قنوات خارجية. تؤثر هذه الثغرة على سرية البيانات من خلال تمكين الوصول غير المصرح به إلى المعلومات المخزنة دون استجابة تطبيق مباشرة.
Immediately patch the application to the latest version; implement parameterized queries and prepared statements for all database interactions; apply input validation and sanitization on 'Id_usuario' and 'Id_evaluacion' parameters; deploy Web Application Firewall (WAF) rules to detect and block SQL injection attempts; conduct security code review of the affected endpoint '/evaluacion_competencias_evalua_old.aspx'; monitor database activity for suspicious queries; restrict database user privileges to minimum required permissions.
قم بتصحيح التطبيق فوراً إلى أحدث إصدار؛ قم بتطبيق الاستعلامات المعاملة والعبارات المحضرة لجميع تفاعلات قاعدة البيانات؛ طبق التحقق من صحة الإدخال والتنظيف على معاملات 'Id_usuario' و'Id_evaluacion'؛ نشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن محاولات حقن SQL وحجبها؛ أجرِ مراجعة أمان الكود للنقطة النهائية المتأثرة؛ راقب نشاط قاعدة البيانات بحثاً عن استعلامات مريبة؛ قيد امتيازات مستخدم قاعدة البيانات بالحد الأدنى المطلوب.