CVE-2019-25672

PilusCart 1.4.1 SQL Injection via send Parameter

CVSS 8.8 HIGHEPSS 0.4%CWE-89

PilusCart 1.4.1 contains a SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the 'send' parameter. Attackers can submit POST requests to the comment submission endpoint with RLIKE-based boolean SQL injection payloads to extract sensitive database information.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N

Produtos afetados

pilus · PilusCart

PoCs públicas encontradas — 1

cve_referencewww.exploit-db.com/exploits/46368não verificado

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://sourceforge.net/projects/pilus/https://www.exploit-db.com/exploits/46368 https://www.vulncheck.com/advisories/piluscart-sql-injection-via-send-parameter