A security flaw has been discovered in Dromara MaxKey up to 3.5.13. Affected by this issue is the function StrUtils.checkSqlInjection of the file StrUtils.java. Performing a manipulation of the argument filtersfields results in sql injection. The attack is possible to be carried out remotely. The exploit has been released to the public and may be used for attacks. The vendor was contacted early about this disclosure but did not respond in any way.
Dromara MaxKey versions up to 3.5.13 contain a SQL injection vulnerability in the StrUtils.checkSqlInjection function that can be exploited through the filtersfields parameter. Remote attackers can execute arbitrary SQL commands without authentication, potentially compromising database integrity and confidentiality.
ثغرة حقن SQL في Dromara MaxKey تؤثر على الإصدارات حتى 3.5.13 من خلال معامل filtersfields في دالة StrUtils.checkSqlInjection. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ أوامر SQL عشوائية والوصول إلى بيانات حساسة. الاستغلال متاح للجمهور والبائع لم يستجب لإشعارات الكشف المبكر.
إصدارات Dromara MaxKey حتى 3.5.13 تحتوي على ثغرة حقن SQL في دالة StrUtils.checkSqlInjection التي يمكن استغلالها عبر معامل filtersfields. يمكن للمهاجمين البعيدين تنفيذ أوامر SQL عشوائية دون مصادقة، مما قد يؤثر على سلامة وسرية قاعدة البيانات.
Upgrade Dromara MaxKey to version 3.5.14 or later immediately. Implement input validation and parameterized queries for all database operations. Apply Web Application Firewall (WAF) rules to detect and block SQL injection attempts. Monitor database logs for suspicious query patterns and restrict database user privileges to minimum required permissions.
قم بترقية Dromara MaxKey إلى الإصدار 3.5.14 أو أحدث فوراً. طبق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع عمليات قاعدة البيانات. طبق قواعد جدار حماية تطبيقات الويب للكشف عن محاولات حقن SQL وحجبها. راقب سجلات قاعدة البيانات للبحث عن أنماط استعلام مريبة وقيد امتيازات مستخدم قاعدة البيانات بالحد الأدنى المطلوب.