CVE-2018-25300

XATABoost CMS 1.0.0 SQL Injection via news.php

CVSS 8.8 HIGHEPSS 0.3%CWE-89

XATABoost CMS 1.0.0 contains a union-based SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the id parameter. Attackers can send GET requests to news.php with malicious id values to extract sensitive database information.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N

Productos afectados

xataboost · XATABoost CMS

PoCs públicas encontradas — 1

cve_referencewww.exploit-db.com/exploits/44622no verificado

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.exploit-db.com/exploits/44622 https://www.vulncheck.com/advisories/xataboost-cms-sql-injection-via-news-php http://www2.xataboost.com