Open ISES Tickets before 3.44.2 contains a SQL injection vulnerability in ajax/statistics.php where the tick_id and f_tick_id POST parameters are concatenated into WHERE clauses of SELECT statements in the statistics rollup queries without sanitization. Authenticated attackers can craft requests that alter query semantics to read, modify, or destroy database contents.
Open ISES Tickets before version 3.44.2 contains a SQL injection vulnerability in the statistics module that allows authenticated attackers to manipulate database queries. Attackers can read, modify, or delete database contents by crafting malicious POST parameters in the ajax/statistics.php endpoint.
تحتوي نسخ Open ISES Tickets السابقة للإصدار 3.44.2 على ثغرة حقن SQL في ملف ajax/statistics.php حيث يتم دمج معاملات POST (tick_id و f_tick_id) مباشرة في جمل WHERE دون تنظيف أو التحقق من صحتها. يمكن للمهاجمين المصرحين بهم استغلال هذه الثغرة لتعديل دلالات الاستعلام والوصول إلى بيانات حساسة أو تدميرها.
إصدارات Open ISES Tickets السابقة للإصدار 3.44.2 تحتوي على ثغرة حقن SQL في وحدة الإحصائيات تسمح للمهاجمين المصرحين بهم بمعالجة استعلامات قاعدة البيانات. يمكن للمهاجمين قراءة أو تعديل أو حذف محتويات قاعدة البيانات من خلال صياغة معاملات POST ضارة في نقطة نهاية ajax/statistics.php.
Upgrade Open ISES Tickets to version 3.44.2 or later immediately. Implement input validation and parameterized queries for all POST parameters in ajax/statistics.php. Apply Web Application Firewall (WAF) rules to detect and block SQL injection attempts. Restrict database user permissions to minimum required privileges. Monitor database logs for suspicious query patterns.
قم بترقية Open ISES Tickets إلى الإصدار 3.44.2 أو أحدث على الفور. قم بتطبيق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع معاملات POST في ajax/statistics.php. طبق قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن محاولات حقن SQL وحجبها. قيد أذونات مستخدم قاعدة البيانات بأقل الامتيازات المطلوبة. راقب سجلات قاعدة البيانات للبحث عن أنماط استعلام مريبة.