← Back
CVE-2021-47966
high
CVSS 8.2
PHP Timeclock 1.04 contains time-based and boolean-based blind SQL injection vulnerabilities in...
Summary
PHP Timeclock 1.04 contains time-based and boolean-based blind SQL injection vulnerabilities in...
AI summary openai / gpt-4o
PHP Timeclock 1.04のlogin.phpには、ログインユーザーIDパラメータに関連する時間ベースおよびブールベースのSQLインジェクション脆弱性があります。この脆弱性を利用することで、攻撃者は認証を経ずにデータベースから機密情報を引き出すことができます。
❓ What is the problem
PHP Timeclock 1.04のlogin.phpにおけるログインユーザーIDパラメータにSQLインジェクション脆弱性が存在します。
📍 Affected scope
PHP Timeclock 1.04のlogin.php
🔥 Severity
無認証でデータベースの機密情報を取り出すことができ、高い重要性を持つ。
🔧 How to fix
パラメータのバリデーションを強化し、SQLインジェクションを防ぐための適切なエスケープとプリペアードステートメントを利用してください。
🛡️ Workaround
可能であれば、直接アクセスを制限し、サーバーでのログイン操作を監視します。
🔍 Detection
異常なデータベースクエリの監視とログレーションにより検出可能です。