CVE-2024-10600

Tongda OA 2017 submenu.php sql injection

CVSS 6.9 MEDIUMEPSS 6.3%CWE-89

En resumen

Tongda OA 2017 permite que atacantes inyecten comandos SQL maliciosos a través del parámetro appid en un archivo web, posibilitando acceso o modificación no autorizada de información sensible en la base de datos.

Detalle técnico

Inyección SQL en pda/appcenter/submenu.php mediante parámetro appid no sanitizado (CWE-89). Vector de ataque remoto sin autenticación requerida; sin precondiciones especiales. La explotación exitosa permite acceso no autorizado, exfiltración o manipulación de datos en la base de datos.

Resumen generado y traducido por IA a partir de la descripción oficial.

A vulnerability, which was classified as critical, was found in Tongda OA 2017 up to 11.6. Affected is an unknown function of the file pda/appcenter/submenu.php. The manipulation of the argument appid leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N

Productos afectados

Tongda · OA 2017

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/LvZCh/td/issues/3 https://vuldb.com/?ctiid.282612 https://vuldb.com/?id.282612 https://vuldb.com/?submit.433497