NLB mKlik Makedonija 3.3.12 SQL Injection

`  
NLB mKlik Makedonija 3.3.12 SQL Injection  
  
  
Vendor: NLB Banka AD Skopje  
Product web page: https://www.nlb.mk  
Google Play: https://play.google.com/store/apps/details?id=hr.asseco.android.jimba.tutunskamk.production  
Affected version: 3.3.12  
  
Summary: NLB mKlik е мобилна апликација наменета за физички лица,  
корисници на услугите на НЛБ Банка, која овозможува преглед на  
различните продукти кои корисниците ги имаат во Банката како и  
извршување на различни видови на трансакции на едноставен и пред  
се безбеден начин во било кој период од денот. NLB mKlik апликацијата  
може да се користи со Android верзија 5.0 или понова.  
  
Desc: The mobile application or the affected API suffers from an SQL  
Injection vulnerability. Input passed to the parameters that are  
associated to international transfer is not properly sanitised before  
being returned to the user or used in SQL queries. This can be exploited  
to manipulate SQL queries by injecting arbitrary SQL code and disclose  
sensitive information.  
  
Tested on: Android 13  
  
  
Vulnerability discovered by Neurogenesia  
@zeroscience  
  
  
Advisory ID: ZSL-2023-5797  
Advisory URL: https://www.zeroscience.mk/en/vulnerabilities/ZSL-2023-5797.php  
  
  
23.12.2022  
  
--  
  
  
Incident ID: ZSL-122022-NLBTHR  
------------------------------  
DB data disclosure PoC (international transfer details/description trigger):  
  
++  
[select alfa1+' девизен прилив' opis from pts (nolock) where unikum =dbo.dodajnuli(:unikum ,14) and kod = 15111]  
  
-  
`