دو آسیبپذیری با شناسههای CVE-2024-3314 و CVE-2024-3315 و شدت متوسط (6.3) در سیستم مدیریت آزمایشگاه کامپیوتری SourceCodester (SourceCodester Computer Laboratory Management System) کشف شده است. این نقص امنیتی بر روی فایل /classes/Users.php و یک تابع ناشناخته در classes/user.php تأثیر میگذارد. هر دو آسیبپذیری را میتوان از طریق تزریق SQL و از راه دور مورد بهرهبرداری قرار داد.
بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L) بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است (AC:L)، برای انجام حمله، حساب کاربری با سطح دسترسی پایین نیاز است (PR: L) و به تعامل با کاربر نیاز ندارد (UI:N). بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U) و هر سه ضلع امنیت، با شدت بالایی تحت تاثیر قرار میگیرند.
محصولات تحت تأثیر
نسخه 1.0 SourceCodester Computer Laboratory Management System تحت تأثیر این نقصهای امنیتی قرار دارد.
توصیههای امنیتی
به کاربران توصیه میشود از آخرین نسخه موجود استفاده کنند.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-3314
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-3315
- 38