NLB mKlik Makedonija 3.3.12 SQL Injection

NLB mKlik Makedonija 3.3.12 SQL InjectionVendor: NLB Banka AD SkopjeProduct web page: https://www.nlb.mkGoogle Play: https://play.google.com/store/apps/details?id=hr.asseco.android.jimba.tutunskamk.productionAffected version: 3.3.12Summary: NLB mKlik е мобилна апликација наменета за физички лица,корисници на услугите на НЛБ Банка, која овозможува преглед наразличните продукти кои корисниците ги имаат во Банката како иизвршување на различни видови на трансакции на едноставен и предсе безбеден начин во било кој период од денот. NLB mKlik апликацијатаможе да се користи со Android верзија 5.0 или понова.Desc: The mobile application or the affected API suffers from an SQLInjection vulnerability. Input passed to the parameters that areassociated to international transfer is not properly sanitised beforebeing returned to the user or used in SQL queries. This can be exploitedto manipulate SQL queries by injecting arbitrary SQL code and disclosesensitive information.Tested on: Android 13Vulnerability discovered by Neurogenesia                            @zeroscienceAdvisory ID: ZSL-2023-5797Advisory URL: https://www.zeroscience.mk/en/vulnerabilities/ZSL-2023-5797.php23.12.2022--Incident ID: ZSL-122022-NLBTHR------------------------------DB data disclosure PoC (international transfer details/description trigger):++[select alfa1+' девизен прилив' opis from pts (nolock) where unikum =dbo.dodajnuli(:unikum ,14) and kod = 15111]-