Open ISES Tickets before 3.44.2 contains a SQL injection vulnerability in db_loader.php where the multiple POST parameters (ticketsdb, ticketshost, ticketsuser, ticketspassword) are concatenated into mysqli connection arguments and dynamic SQL operating against an attacker-controlled database without sanitization. Authenticated attackers can craft requests that alter query semantics to read, modify, or destroy database contents.
Open ISES Tickets before version 3.44.2 contains a SQL injection vulnerability in db_loader.php where POST parameters are unsanitized and used in database connection strings. Authenticated attackers can exploit this to read, modify, or destroy database contents.
تحتوي ثغرة حقن SQL على معاملات POST متعددة (ticketsdb, ticketshost, ticketsuser, ticketspassword) يتم دمجها مباشرة في وسائط اتصال mysqli دون تطهير أو التحقق من الصحة. يمكن للمهاجمين المصرح لهم تعديل دلالات الاستعلام لتنفيذ عمليات SQL عشوائية ضد قاعدة البيانات المستهدفة.
Open ISES Tickets قبل الإصدار 3.44.2 يحتوي على ثغرة حقن SQL في db_loader.php حيث يتم استخدام معاملات POST بدون تطهير في سلاسل الاتصال بقاعدة البيانات. يمكن للمهاجمين المصرح لهم استغلال هذا للقراءة أو التعديل أو تدمير محتويات قاعدة البيانات.
Update Open ISES Tickets to version 3.44.2 or later immediately. Implement input validation and parameterized queries for all database connection parameters. Apply principle of least privilege to database user accounts. Monitor database access logs for suspicious activity.
قم بتحديث Open ISES Tickets إلى الإصدار 3.44.2 أو أحدث على الفور. قم بتطبيق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع معاملات اتصال قاعدة البيانات. طبق مبدأ أقل امتياز على حسابات مستخدمي قاعدة البيانات. راقب سجلات الوصول إلى قاعدة البيانات للنشاط المريب.