CAPEC-277СтандартЧерновик
Манипуляция протоколом обмена данными
Протоколы обмена данными используются для передачи структурированных данных между субъектами. Эти протоколы нередко специфичны для конкретной предметной области (B2B: заказы на покупку, счета-фактуры, транспортная логистика и накладные, медицинские записи). Они часто, но не всегда, основаны на XML. Нарушение работы протокола может позволить злоумышленнику выдавать себя за других лиц, обнаруживать конфиденциальные сведения, управлять результатом сессии или проводить иные атаки. Данный тип атаки использует недействительные допущения, которые могут быть присущи реализаторам протокола, некорректные реализации протокола или уязвимости в самом протоколе.
Открыть в каталоге с фильтром CAPEC →Связанные уязвимости
CVE-2022-4726Критическая уязвимость была обнаружена в SourceCodester Sanitization Management System 1.0. Эта уязвимость затрагивает неизвестную функциональность компонента Admin Login. Манипуляция аргументом username/password приводит к sql-инъекции. Атака может быть запущена удаленно. Соответствующий идентификатор этой уязвимости — VDB-216739.
CVE-2022-4592В luckyshot CRMx была обнаружена уязвимость и классифицирована как критическая. Эта проблема затрагивает функцию get/save/delete/comment/commentdelete файла index.php. Манипуляция приводит к SQL-инъекции. Атака может быть инициирована удаленно. Имя патча — 8c62d274986137d6a1d06958a6f75c3553f45f8f. Рекомендуется применить патч для исправления этой проблемы. Идентификатор VDB-216185 был присвоен этой уязвимости.
CVE-2022-4566В y_project RuoYi 4.7.5 была обнаружена уязвимость, которая была классифицирована как критическая. Эта проблема затрагивает некоторую неизвестную обработку файла com/ruoyi/generator/controller/GenController. Манипуляция приводит к SQL-инъекции. Имя патча — 167970e5c4da7bb46217f576dc50622b83f32b40. Рекомендуется применить патч для исправления этой проблемы. Связанный идентификатор этой уязвимости — VDB-215975.
CVE-2022-4454Уязвимость, которая была классифицирована как критическая, была обнаружена в m0ver bible-online. Этой проблеме подвержена функция query файла src/main/java/custom/application/search.java компонента Search Handler. Манипуляции приводят к sql-инъекции. Имя патча — 6ef0aabfb2d4ccd53fcaa9707781303af357410e. Рекомендуется применить патч для устранения этой проблемы. Идентификатор этой уязвимости — VDB-215444.
CVE-2022-4399В TicklishHoneyBee nodau обнаружена уязвимость. Она была оценена как критическая. Эта проблема затрагивает некоторую неизвестную функциональность файла src/db.c. Манипуляция аргументом value/name приводит к SQL-инъекции. Имя патча - 7a7d737a3929f335b9717ddbd31db91151b69ad2. Рекомендуется применить патч для устранения этой проблемы. Идентификатор этой уязвимости - VDB-215252.
CVE-2022-4375В Mingsoft MCMS до версии 5.2.9 обнаружена уязвимость, классифицированная как критическая. Уязвима неизвестная функция файла /cms/category/list. Манипуляция аргументом sqlWhere приводит к SQL-инъекции. Атаку можно осуществить удаленно. Эксплойт был обнародован и может быть использован. Обновление до версии 5.2.10 позволяет решить эту проблему. Рекомендуется обновить уязвимый компонент. Идентификатор этой уязвимости - VDB-215196.
CVE-2022-4277Уязвимость была обнаружена в Shaoxing Background Management System. Она была объявлена критической. Эта уязвимость затрагивает неизвестный код файла /Default/Bd. Манипулирование аргументом id приводит к SQL-инъекции. Атака может быть инициирована удаленно. Эксплойт был раскрыт публично и может быть использован. VDB-214774 - это идентификатор, присвоенный этой уязвимости.
CVE-2022-4275Уязвимость была обнаружена в House Rental System и классифицирована как критическая. Эта уязвимость затрагивает неизвестную функциональность файла search-property.php компонента POST Request Handler. Манипулирование аргументом search_property приводит к SQL-инъекции. Атака может быть начата удаленно. Эксплойт был раскрыт публично и может быть использован. Связанный идентификатор этой уязвимости - VDB-214771.
CVE-2022-4274Критическая уязвимость была обнаружена в House Rental System. Затронута неизвестная функция файла /view-property.php. Манипулирование аргументом property_id приводит к SQL-инъекции. Атаку можно начать удаленно. Эксплойт был раскрыт публично и может быть использован. VDB-214770 - идентификатор, присвоенный этой уязвимости.
CVE-2022-4257В C-DATA Web Management System обнаружена уязвимость. Она была оценена как критическая. Эта проблема затрагивает некоторую неизвестную обработку файла cgi-bin/jumpto.php компонента GET Parameter Handler. Манипуляция аргументом hostname приводит к внедрению аргумента. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Связанным идентификатором этой уязвимости является VDB-214631.
CVE-2022-4248В Movie Ticket Booking System обнаружена уязвимость, которая была классифицирована как критическая. Эта проблема затрагивает некоторую неизвестную обработку файла editBooking.php. Манипуляция аргументом id приводит к sql-инъекции. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Идентификатор VDB-214625 был присвоен этой уязвимости.
CVE-2022-4247В Movie Ticket Booking System обнаружена уязвимость, классифицированная как критическая. Эта уязвимость затрагивает неизвестный код файла booking.php. Манипуляция аргументом id приводит к sql-инъекции. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Идентификатором этой уязвимости является VDB-214624.
CVE-2022-4222Уязвимость была обнаружена в SourceCodester Canteen Management System. Ей присвоена критическая оценка. Эта проблема затрагивает функцию query файла ajax_invoice.php компонента POST Request Handler. Манипуляция аргументом search приводит к sql-инъекции. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Связанным идентификатором этой уязвимости является VDB-214523.
CVE-2022-4088Обнаружена уязвимость в rickxy Stock Management System, классифицированная как критическая. Эта проблема затрагивает некоторую неизвестную функциональность файла /pages/processlogin.php. Манипулирование аргументом user/password приводит к SQL-инъекции. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. VDB-214322 — идентификатор, присвоенный этой уязвимости.
CVE-2022-4051Обнаружена уязвимость в Hostel Searching Project, классифицированная как критическая. Эта уязвимость затрагивает неизвестный код файла view-property.php. Манипулирование аргументом property_id приводит к SQL-инъекции. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Идентификатор этой уязвимости — VDB-213844.