CVE-2025-1751
CriticalSummary
W wersji 2.15.5 oprogramowania Ciges od ATISoluciones odkryto podatność na wstrzykiwanie SQL. Umożliwia ona atakującemu pobieranie, tworzenie, aktualizowanie oraz usuwanie danych w bazie danych za pomocą parametru $idServicio w punkcie końcowym /modules/ajaxBloqueaCita.php.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych w organizacji, umożliwiając nieautoryzowany dostęp do bazy danych. Atakujący może manipulować danymi, co może prowadzić do utraty integralności i poufności informacji.
Recommendation
Zaleca się natychmiastowe zaktualizowanie oprogramowania Ciges do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy walidacji i sanitizacji danych wejściowych w aplikacji.
Original NVD description (English source)
A SQL Injection vulnerability has been found in Ciges 2.15.5 from ATISoluciones. This vulnerability allows an attacker to retrieve, create, update and delete database via $idServicio parameter in /modules/ajaxBloqueaCita.php endpoint.

