A vulnerability was identified in PowerJob 5.1.0/5.1.1/5.1.2. Impacted is an unknown function of the file powerjob-server/powerjob-server-starter/src/main/java/tech/powerjob/server/web/controller/InstanceController.java of the component detailPlus Endpoint. The manipulation of the argument customQuery leads to sql injection. Remote exploitation of the attack is possible. The project was informed of the problem early through an issue report but has not responded yet.
PowerJob versions 5.1.0 through 5.1.2 contain a SQL injection vulnerability in the detailPlus endpoint through the customQuery parameter, allowing remote attackers to execute arbitrary SQL commands. This vulnerability affects the InstanceController component and poses significant risk to organizations using affected PowerJob deployments.
تم اكتشاف ثغرة حقن SQL في PowerJob الإصدارات 5.1.0 و5.1.1 و5.1.2 في ملف InstanceController.java حيث يمكن التلاعب بمعامل customQuery لتنفيذ استعلامات SQL عشوائية. يمكن استغلال هذه الثغرة عن بعد دون الحاجة إلى مصادقة، مما يسمح بالوصول غير المصرح به إلى البيانات أو تعديلها أو حذفها. لم يستجب فريق المشروع للإبلاغ عن المشكلة حتى الآن.
إصدارات PowerJob من 5.1.0 إلى 5.1.2 تحتوي على ثغرة حقن SQL في نقطة نهاية detailPlus عبر معامل customQuery، مما يسمح للمهاجمين البعيدين بتنفيذ أوامر SQL عشوائية. تؤثر هذه الثغرة على مكون InstanceController وتشكل خطراً كبيراً على المنظمات التي تستخدم نشرات PowerJob المتأثرة.
Immediately upgrade PowerJob to a patched version beyond 5.1.2 when available. Implement input validation and parameterized queries for all user inputs in the customQuery parameter. Apply Web Application Firewall (WAF) rules to detect and block SQL injection patterns. Monitor database activity for suspicious queries and restrict database user permissions to minimum required levels.
قم بترقية PowerJob فوراً إلى إصدار مصحح بعد 5.1.2 عند توفره. قم بتطبيق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع مدخلات المستخدم في معامل customQuery. طبق قواعد جدار الحماية لتطبيقات الويب (WAF) للكشف عن أنماط حقن SQL وحجبها. راقب نشاط قاعدة البيانات بحثاً عن استعلامات مريبة وقيد أذونات مستخدم قاعدة البيانات بالحد الأدنى المطلوب.