Piwigo versie 13.8.0 en lager zijn kwetsbaar voor een SQL-injectie via de parameters max_level en min_register. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-43018, kan worden misbruikt in de functie ws_user_gerList binnen het bestand include\ws_functions\pwg.users.php. Hierdoor kan een aanvaller mogelijk toegang krijgen tot gevoelige gebruikersgegevens zonder gebruikersinteractie.
Overzicht
De SQL-injectie kwetsbaarheid heeft een CVSS-score van 6.4, wat betekent dat het een middelmatige impact heeft op de beveiliging van systemen. De aanvalsvector is via het netwerk, met een lage complexiteit en geen vereiste gebruikersinteractie. Dit kan leiden tot verlies van gegevensintegriteit en vertrouwelijkheid.
Aanbevelingen
- Werk uw Piwigo-installatie bij naar de nieuwste versie om de kwetsbaarheid te verhelpen.
- Monitor de toegang tot uw systemen voor verdachte activiteiten, specifiek gerelateerd aan gebruikersbeheer.
Bronnen
Vraag en Antwoord
Wat is CVE-2024-43018?
Dit is een kwetsbaarheid in Piwigo die gebruikmaakt van SQL-injecties. Aanvallers kunnen ongeautoriseerde toegang verkrijgen tot gegevens door de parameters max_level en min_register te manipuleren.
Welke systemen zijn kwetsbaar voor CVE-2024-43018?
Alle systemen die Piwigo versie 13.8.0 of lager draaien kunnen kwetsbaar zijn.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt sterk aanbevolen om uw Piwigo-installatie bij te werken naar de nieuwste versie om deze kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gevoelige gebruikersgegevens verkrijgen zonder tussenkomst van een gebruiker, wat kan leiden tot verdere veiligheidsrisico’s binnen het netwerk.
