Joomla vReview 1.9.11 SQL Injection via editReview 漏洞概述 Joomla Component vReview 1.9.11 存在一个 SQL 注入漏洞,允许未经身份验证的攻击者通过 参数注入恶意代码,执行任意 SQL 查询。攻击者可以向 任务端点发送 POST 请求,并在 参数中使用 URL 编码的 SQL UNION 语句来提取数据库信息,包括用户名、密码和数据库版本。 影响范围 受影响版本: vReview <= 1.9.11 CVE: CVE-2019-25755 CWE: CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') CVSS: 8.8 CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N 修复方案 官方产品主页: Official Product Homepage 产品参考: Product Reference 参考链接 ExploitDB-46227 Official Product Homepage Product Reference 描述 Joomla Component vReview 1.9.11 包含一个 SQL 注入漏洞,允许未经身份验证的攻击者通过 参数注入恶意代码,执行任意 SQL 查询。攻击者可以向 任务端点发送 POST 请求,并在 参数中使用 URL 编码的 SQL UNION 语句来提取数据库信息,包括用户名、密码和数据库版本。 准备开始? 探索 VulnCheck,一个下一代网络威胁情报平台,提供漏洞和漏洞情报,帮助您优先处理和修复重要的漏洞。 漏洞优先级排序 根据威胁景观优先处理重要的漏洞,并推迟不重要的漏洞。 早期预警系统 实时警报漏洞景观的变化,以便您可以在攻击开始之前采取行动。 预约演示