PT-2025-50761 · Xbtitfm · Xbtitfm
Xbtitfm Team
·
Publicado
2025-12-11
·
Atualizado
2025-12-12
·
CVE-2024-58309
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
xbtitFM versão 4.1.18
Descrição
O software apresenta uma vulnerabilidade de injeção de SQL não autenticada. Atacantes remotos podem manipular consultas ao banco de dados injetando código SQL malicioso através do parâmetro
msgid. Requisições especialmente criadas enviadas ao endpoint da API '/shoutedit.php', utilizando funções como EXTRACTVALUE, podem permitir que atacantes extraiam nomes de bancos de dados, credenciais de usuário e hashes de senha.Recomendações
Aplique uma correção para resolver a injeção de SQL no parâmetro
msgid do endpoint da API '/shoutedit.php'.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xbtitfm