A flaw has been found in xianrendzw EasyReport up to 2.0.17.0522_Beta. Affected by this issue is the function execute of the component REST Endpoint. Executing a manipulation of the argument reportParams can lead to sql injection. The attack can be launched remotely. The vendor was contacted early about this disclosure but did not respond in any way.
A SQL injection vulnerability exists in xianrendzw EasyReport versions up to 2.0.17.0522_Beta through the REST Endpoint's execute function via the reportParams argument. Remote attackers can exploit this flaw without authentication to manipulate database queries.
ثغرة حقن SQL في مكون نقطة النهاية REST لتطبيق xianrendzw EasyReport تسمح بتنفيذ استعلامات SQL عشوائية. يمكن للمهاجمين البعيدين استغلال هذه الثغرة من خلال معامل reportParams دون الحاجة إلى المصادقة. البائع لم يستجب لإشعارات الكشف المبكر.
ثغرة حقن SQL موجودة في إصدارات xianrendzw EasyReport حتى 2.0.17.0522_Beta عبر نقطة نهاية REST من خلال معامل reportParams. يمكن للمهاجمين البعيدين استغلال هذا الخلل للتلاعب باستعلامات قاعدة البيانات.
Upgrade xianrendzw EasyReport to a patched version beyond 2.0.17.0522_Beta immediately. Implement input validation and parameterized queries for all reportParams. Apply Web Application Firewall (WAF) rules to detect and block SQL injection patterns. Restrict REST Endpoint access to authorized users only and monitor for suspicious database queries.
قم بترقية xianrendzw EasyReport إلى إصدار مصحح فوراً. طبق التحقق من صحة المدخلات والاستعلامات المحددة مسبقاً لجميع معاملات التقرير. طبق قواعد جدار حماية تطبيقات الويب لكشف حقن SQL. قيد الوصول إلى نقطة النهاية للمستخدمين المصرح لهم فقط.