Open ISES Tickets before 3.44.2 contains a SQL injection vulnerability in ajax/reports.php where the tick_id POST parameter is concatenated into the WHERE clause of SELECT statements in the incidents summary report without sanitization. Authenticated attackers can craft requests that alter query semantics to read, modify, or destroy database contents.
Open ISES Tickets before version 3.44.2 contains a SQL injection vulnerability in the ajax/reports.php file where the tick_id POST parameter is not properly sanitized. Authenticated attackers can exploit this to read, modify, or delete database contents.
تحتوي Open ISES Tickets على ثغرة حقن SQL في وحدة التقارير حيث يتم دمج معامل tick_id مباشرة في استعلامات SQL دون تنظيف. يمكن للمستخدمين المصرح لهم بالوصول استخدام هذه الثغرة لتنفيذ استعلامات SQL عشوائية والوصول إلى بيانات حساسة أو تعديلها.
إصدارات Open ISES Tickets السابقة للإصدار 3.44.2 تحتوي على ثغرة حقن SQL في ملف ajax/reports.php حيث لا يتم تنظيف معامل POST الخاص بـ tick_id بشكل صحيح. يمكن للمهاجمين المصرح لهم استغلال هذا للوصول إلى محتويات قاعدة البيانات أو تعديلها أو حذفها.
Upgrade Open ISES Tickets to version 3.44.2 or later immediately. Implement input validation and parameterized queries for all database operations. Apply principle of least privilege to database user accounts. Monitor database logs for suspicious SQL activity.
قم بترقية Open ISES Tickets إلى الإصدار 3.44.2 أو أحدث فوراً. قم بتطبيق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع عمليات قاعدة البيانات. طبق مبدأ أقل صلاحية على حسابات مستخدمي قاعدة البيانات. راقب سجلات قاعدة البيانات للنشاط المريب.