A vulnerability was determined in star7th ShowDoc up to 2.10.10/3.6.2/3.8.0. Affected by this vulnerability is an unknown functionality of the file server/Application/Api/Controller/PageController.class.PHP of the component API Page Sort Endpoint. Executing a manipulation of the argument pages can lead to sql injection. The attack may be launched remotely. Upgrading to version 3.8.1 addresses this issue. It is suggested to upgrade the affected component. According to the researcher, "[t]he vendor explicitly stated they will not backport patches to the older affected versions."
A SQL injection vulnerability exists in ShowDoc versions up to 2.10.10, 3.6.2, and 3.8.0 in the API Page Sort Endpoint that allows remote attackers to manipulate the pages argument. Organizations must upgrade to version 3.8.1 or later as the vendor will not backport patches to older versions.
ثغرة حقن SQL في ShowDoc تؤثر على إصدارات متعددة من خلال نقطة نهاية API Page Sort. يمكن للمهاجمين البعيدين استغلال هذه الثغرة بمعالجة معامل الصفحات لتنفيذ أوامر SQL عشوائية. البائع لن يوفر تصحيحات للإصدارات الأقدم مما يجعل الترقية الخيار الوحيد.
ثغرة حقن SQL موجودة في إصدارات ShowDoc حتى 2.10.10 و3.6.2 و3.8.0 في نقطة نهاية API Page Sort تسمح للمهاجمين البعيدين بمعالجة وسيطة الصفحات. يجب على المنظمات الترقية إلى الإصدار 3.8.1 أو أحدث حيث لن يقوم البائع بنقل التصحيحات إلى الإصدارات الأقدم.
Immediately upgrade ShowDoc to version 3.8.1 or later. For organizations unable to upgrade immediately, implement Web Application Firewall (WAF) rules to block malicious SQL injection patterns in the pages parameter, restrict API access to trusted networks, and monitor API logs for suspicious activity. Disable the affected API endpoint if not in use.
قم بترقية ShowDoc فوراً إلى الإصدار 3.8.1 أو أحدث. بالنسبة للمنظمات غير القادرة على الترقية فوراً، قم بتطبيق قواعد جدار حماية تطبيقات الويب لحجب أنماط حقن SQL الضارة في معامل الصفحات، وقيد وصول API إلى الشبكات الموثوقة، ومراقبة سجلات API للنشاط المريب. قم بتعطيل نقطة نهاية API المتأثرة إذا لم تكن قيد الاستخدام.