PT-2025-35582 · Tirreno · Tirreno
Cyberducky0O0
+1
·
Publicado
2025-09-02
·
Atualizado
2025-09-02
·
CVE-2025-55472
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Tirreno versão 0.9.5
Descrição
Existe uma vulnerabilidade de Injeção de SQL no Tirreno versão 0.9.5. A vulnerabilidade está localizada no endpoint da API
/admin/loadUsers, decorrente do manuseio inseguro de entrada fornecida pelo usuário no parâmetro columns[0][data]. Este parâmetro é incorporado diretamente às consultas SQL sem validação adequada ou parameterização.Recomendações
Atualize para uma versão mais recente que contenha a correção para este problema. Como solução alternativa temporária, restrinja o acesso ao endpoint da API
/admin/loadUsers.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tirreno