← Back
Summary
Mautic has SQL Injection in API Contact Filtering
AI summary openai / gpt-4o
MauticのAPIの連絡先フィルタリング機構にSQLインジェクションの脆弱性があります。認証されたAPIユーザーが、入力フィルタリングを回避して任意のSQLコマンドを挿入できる可能性があります。また、これはネストされたクエリパラメータの再帰的なサニタイズが不十分なために発生します。
❓ What is the problem
MauticのAPIの連絡先フィルター機構におけるSQLインジェクション脆弱性。
📍 Affected scope
MauticのAPI連絡先フィルタリング機構。
🔥 Severity
認証されたユーザーが任意のSQLコマンドを実行できる脅威があるため、高度な脆弱性。
🔧 How to fix
入力のサニタイズ処理を特にネストされたパラメータに対して強化する。
🛡️ Workaround
情報なし
🔍 Detection
APIのネストされたクエリパラメータのログを監視して異常を検出する。
Affected packages
composer
mautic/core
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"7.1.2"}]}]