Open ISES Tickets before 3.44.2 contains a SQL injection vulnerability in tables.php where the multiple POST parameters (tablename, indexname, sortby) are concatenated into table/column identifiers in dynamically constructed SELECT/UPDATE/DELETE statements without sanitization. Authenticated attackers can craft requests that alter query semantics to read, modify, or destroy database contents.
Open ISES Tickets before version 3.44.2 contains a SQL injection vulnerability in tables.php affecting POST parameters (tablename, indexname, sortby) that are unsanitized in SQL statements. Authenticated attackers can exploit this to read, modify, or delete database contents.
ثغرة حقن SQL في ملف tables.php بـ Open ISES Tickets تسمح للمهاجمين المصرح لهم بتعديل استعلامات SQL من خلال معاملات POST غير المنظفة. يمكن للمهاجمين قراءة أو تعديل أو حذف محتويات قاعدة البيانات بالكامل. الثغرة تؤثر على جميع الإصدارات السابقة للإصدار 3.44.2.
إصدارات Open ISES Tickets السابقة للإصدار 3.44.2 تحتوي على ثغرة حقن SQL في ملف tables.php حيث لا يتم تنظيف معاملات POST (tablename, indexname, sortby). يمكن للمهاجمين المصرح لهم استغلال هذا للوصول وتعديل أو حذف محتويات قاعدة البيانات.
Upgrade Open ISES Tickets to version 3.44.2 or later immediately. Implement input validation and parameterized queries for all POST parameters. Apply principle of least privilege to database accounts. Monitor database access logs for suspicious activity.
قم بترقية Open ISES Tickets إلى الإصدار 3.44.2 أو أحدث فوراً. طبق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع معاملات POST. طبق مبدأ أقل صلاحية لحسابات قاعدة البيانات. راقب سجلات الوصول إلى قاعدة البيانات للنشاط المريب.