Unauthentifizierte SQL Injection in OpenProject (CVE-2019-11600)

Project Description

OpenProject ist von einer SQL-Injection-Schwachstelle betroffen, die von einem Angreifer ausgenutzt werden kann, um Datensätze aus der Datenbank ohne vorherige Authentifizierung zu lesen.

Zum Security-Advisory (Englisch)

 

Security Research: Thanaphon Soo / @2019

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung. Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Project Details

  • TitleUnauthenticated SQL Injection vulnerability
  • ProductOpenProject
  • Vulnerable version5.0.0 - 8.3.1
  • Fixed version8.3.2 & 9.0.0
  • CVE numberCVE-2019-11600
  • ImpactCritical
  • Homepagehttps://www.openproject.org
  • Found2019-04-17
  • ByT. Soo (Office Bangkok) | SEC Consult Vulnerability Lab