CVE-2019-25672

PilusCart 1.4.1 SQL Injection via send Parameter

CVSS 8.8 HIGHEPSS 0.4%CWE-89

PilusCart 1.4.1 contains a SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the 'send' parameter. Attackers can submit POST requests to the comment submission endpoint with RLIKE-based boolean SQL injection payloads to extract sensitive database information.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N

Productos afectados

pilus · PilusCart

PoCs públicas encontradas — 1

cve_referencewww.exploit-db.com/exploits/46368no verificado

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://sourceforge.net/projects/pilus/https://www.exploit-db.com/exploits/46368 https://www.vulncheck.com/advisories/piluscart-sql-injection-via-send-parameter