V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-15560
CVE
Высокий

Аутентифицированный злоумышленник с минимальными разрешениями может использовать инъекцию SQL в конце точки сервера WorkTime «widget» API д…

CVSS
8.8
Высокий
EPSS
0.00
p16
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Аутентифицированный злоумышленник с минимальными разрешениями может использовать инъекцию SQL в конце точки сервера WorkTime «widget» API для ввода запросов SQL. Если используется бэкэнд Firebird, злоумышленники могут получить все данные из бэкэнда базы данных. Если используется бэкэнд MSSQL, злоумышленник может выполнять произвольные SQL-выражения на бэкэнде базы данных и получать доступ к конфиденциальным данным.

Теги · CWE
SQL-инъекция
CWE-89
CAPEC-7
CAPEC-66
CAPEC-108
CAPEC-109
CAPEC-110
CAPEC-470
Затронутые продукты
Worktime ≤ 11.8.8
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.003 · p16
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
worktime*Отслеживается
Источники данных
CVE
Внешние ссылки