Pingkon HMS-PHP Data Pump Metadata /admin/admin.php uname/pass sql injection
Une vulnérabilité classée critique a été trouvée dans Pingkon HMS-PHP. Affecté est une fonction inconnue du fichier /admin/admin.php du composant Data Pump Metadata. La manipulation du paramètre uname/pass avec une valeur d'entrée inconnue mène à une vulnérabilité de classe sql injection. La notice d'information est disponible en téléchargement sur github.com. Cette vulnérabilité est identifiée comme CVE-2022-3973. Il est possible de lancer l'attaque à distance. Des details techniques sont connus. Il est déclaré comme proof-of-concept. L'exploit est disponible au téléchargment sur github.com. Une solution envisageable a été publiée même avant, et non après après la publication de la vulnérabilité.