CVE-2020-13588— Rukovoditel SQL注入漏洞

N/A

An exploitable SQL injection vulnerability exists in the ‘entities/fields’ page of the Rukovoditel Project Management App 2.7.2. The heading_field_id parameter in ‘‘entities/fields’ page is vulnerable to authenticated SQL injection. An attacker can make authenticated HTTP requests to trigger this vulnerability, this can be done either with administrator credentials or through cross-site request forgery.

N/A

SQL命令中使用的特殊元素转义处理不恰当(SQL注入)

Rukovoditel SQL注入漏洞

Rukovoditel是Rukovoditel团队的一套基于Web的开源项目管理软件。该软件具有项目管理、客户关系管理等功能。 Rukovoditel Project Management App存在安全漏洞，该漏洞源于实体字段页面中的标题字段id参数容易受到经过身份验证的SQL注入的攻击。攻击者可利用该漏洞可以发出经过身份验证的HTTP请求来触发此漏洞，这可以通过管理员凭据或跨站点请求伪造来实现。

N/A

N/A