OpenKM 6.3.12 contains an unrestricted SQL execution vulnerability that allows authenticated administrative users to execute arbitrary SQL statements against the application database via the DatabaseQuery interface. Attackers can submit malicious SQL queries through the qs parameter to the /admin/DatabaseQuery endpoint to extract sensitive data including usernames and password hashes from the OKM_USER table, modify permissions, or delete database records.
OpenKM 6.3.12 contains an SQL injection vulnerability in the DatabaseQuery admin interface that allows authenticated administrators to execute arbitrary SQL statements. Attackers can exploit this to extract sensitive user data, modify permissions, or delete database records.
يؤثر هذا الضعف على OpenKM 6.3.12 ويسمح للمستخدمين الإداريين المصرحين بتنفيذ استعلامات SQL عشوائية عبر معامل qs في نقطة نهاية /admin/DatabaseQuery. يمكن للمهاجمين استخراج بيانات حساسة من جدول OKM_USER بما في ذلك أسماء المستخدمين وتجزئات كلمات المرور أو تعديل الأذونات أو حذف السجلات.
OpenKM 6.3.12 يحتوي على ثغرة حقن SQL في واجهة إدارة DatabaseQuery تسمح للمسؤولين المصرحين بتنفيذ بيانات SQL عشوائية. يمكن للمهاجمين استغلال هذا لاستخراج بيانات المستخدمين الحساسة أو تعديل الأذونات أو حذف سجلات قاعدة البيانات.
Upgrade OpenKM to version 6.3.13 or later immediately. Restrict administrative access to the /admin/DatabaseQuery endpoint using network-level controls and WAF rules. Implement input validation and parameterized queries. Monitor database activity for suspicious SQL patterns. Review and revoke unnecessary admin privileges.
قم بترقية OpenKM إلى الإصدار 6.3.13 أو أحدث فوراً. قيد الوصول الإداري إلى نقطة نهاية /admin/DatabaseQuery باستخدام عناصر التحكم على مستوى الشبكة وقواعد WAF. طبق التحقق من صحة المدخلات والاستعلامات المعاملة. راقب نشاط قاعدة البيانات للأنماط المريبة. راجع وألغِ امتيازات المسؤول غير الضرورية.