mbCONNECT24, mymbCONNECT24, wersja 2.6.1 i wcześniejsze
Numer CVE
CVE-2020-24569
Krytyczność
7.1 / 10
CVSS
AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Aktualizacja
TAK
Opis
Luka typu blind SQL Injection w komponencie knximport umożliwia zalogowanym atakującym dostęp do dowolnych informacji. Podatność tą można całkowicie zniwelować dla zdalnych atakujących poprzez wykorzystanie restrykcyjnego zewnętrznego firewall’a.
Numer CVE
CVE-2020-24568
Krytyczność
7.1 / 10
CVSS
AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Aktualizacja
TAK
Opis
Luka typu blind SQL Injection w komponencie lanccompenent umożliwia zalogowanym atakującym dostęp do dowolnych informacji.
Numer CVE
CVE-2020-24570
Krytyczność
8.8 / 10
CVSS
AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Aktualizacja
TAK
Opis
Luka związana z Server-side request forgery (SSRF) lub Cross-site request forgery (CSRF) w module com_mb24proxy może pozwolić atakującemu na kradzież informacji o sesji zalogowanych użytkowników poprzez spreparowany link.
Numer CVE
Brak przypisanego CVE
Krytyczność
9.8 / 10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Aktualizacja
TAK
Opis
Atakujący może użyć przestarzałego i nieużywanego oprogramowania innej firmy dołączonego do oprogramowania, co może pozwolić na zdalne wykonanie kodu.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny