W KB Messages PHP Script 1.0 została stwierdzona podatność. Podatnością dotknięta jest nieznana funkcja. Poprzez manipulowanie argumentem username/password wartością wejściową 'or''='
przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności sql injection. Raport na temat podatności został udostępniony pod adresem exploit-db.com.
Identyfikatorem tej podatności jest CVE-2017-20128. Atak może zostać zainicjowany zdalnie. Techniczne szczegóły są znane.
Uważa się go za proof-of-concept. Exploit można ściągnąć pod adresem exploit-db.com.
Potencjalne zabezpieczenie zostało opublikowane przed po ujawnieniu podatności.