PT-2025-47060 · Unknown · Fantasticlbp Hotels Server
Naixiao
·
Publicado
2025-11-15
·
Atualizado
2025-11-15
·
CVE-2025-13208
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
Versões do FantasticLBP Hotels Server anteriores a 67b44df162fab26df209bd5d5d542875fcbec1d0
Descrição
Existe uma falha de segurança no FantasticLBP Hotels Server. O problema envolve uma injeção de SQL que pode ser acionada mediante a manipulação do argumento
subjectId/cityName dentro de uma função desconhecida no arquivo controller/api/hotelList.php. Isso permite a execução de ataques remotamente. O exploit foi divulgado publicamente.Recomendações
Versões anteriores a 67b44df162fab26df209bd5d5d542875fcbec1d0 devem ser atualizadas. Como medida temporária, restrinja ou evite o uso dos parâmetros
subjectId/cityName no endpoint /api/hotelList.php.Exploit
Correção
Special Elements Injection
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fantasticlbp Hotels Server