PT-2025-38221 · Kidaze · Courseselectionsystem

Shang

·

Publicado

2025-09-17

·

Atualizado

2025-09-17

·

CVE-2025-10597

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas kidaze CourseSelectionSystem versões anteriores a 42cd892b40a18d50bd4ed1905fa89f939173a464
Descrição Existe uma vulnerabilidade no kidaze CourseSelectionSystem. O problema envolve uma injeção de SQL causada pela manipulação do argumento cname no arquivo /Profilers/PriProfile/COUNT2.php. O ataque pode ser iniciado remotamente. O produto utiliza um modelo de lançamento contínuo, e informações específicas de versão para lançamentos afetados ou atualizados não estão disponíveis.
Recomendações Versões anteriores a 42cd892b40a18d50bd4ed1905fa89f939173a464: Restringir ou desabilitar o acesso ao arquivo /Profilers/PriProfile/COUNT2.php. Versões anteriores a 42cd892b40a18d50bd4ed1905fa89f939173a464: Sanitizar o argumento cname para prevenir injeção de SQL.

Exploit

Correção

Special Elements Injection

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-89

Identificadores relacionados

CVE-2025-10597

Produtos afetados

Courseselectionsystem