CVE-2023-1595

MITJÀ: (4,7)

CVSS3: 4,6

novel-plus és vulnerable a injeccions SQL. Un atacant remot autenticat podria enviar sentències SQL especialment dissenyades a l’endpoint common/log/list utilitzant els paràmetres sort i order, la qual cosa podria permetre a l’atacant veure, afegir, modificar o eliminar informació a la base de dades back-end.

Sistemes Afectats

• Novel-Plus Novel-Plus 3.6.2

Remediació
No hi ha recursos disponibles amb data 23 de març del 2023.

Referències

• https://github.com/1610349395/novel-plus-v3.6.2—-Background-SQL-Injection-Vulnerability-/blob/main/novel-plus%20v3.6.2%20–%20Background%20SQL%20Injection%20Vulnerability.md
• https://novel.xxyopen.com/
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1595