PT-2025-11677 · Unknown · Ahathat Plugin
Régis Senet
·
Publicado
2025-03-19
·
Atualizado
2025-03-19
·
CVE-2025-2511
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Plugin AHAthat até a 1.6 inclusive
Descrição
O problema está relacionado a uma Injeção de SQL baseada em tempo via parâmetro
id devido ao escapamento insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que atacantes autenticados com acesso de nível de Administrador ou superior anexem consultas SQL adicionais às consultas já existentes, potencialmente extraindo informações sensíveis do banco de dados.Recomendações
Para versões até a 1.6 inclusive, considere restringir o acesso ao parâmetro
id no endpoint da API afetado até que um patch esteja disponível. Como solução temporária, limite o acesso de nível de Administrador para minimizar o risco de exploração.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ahathat Plugin