Katalog CVE

CVE-2025-1751

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersji 2.15.5 oprogramowania Ciges od ATISoluciones odkryto podatność na wstrzykiwanie SQL. Umożliwia ona atakującemu pobieranie, tworzenie, aktualizowanie oraz usuwanie danych w bazie danych za pomocą parametru $idServicio w punkcie końcowym /modules/ajaxBloqueaCita.php.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych w organizacji, umożliwiając nieautoryzowany dostęp do bazy danych. Atakujący może manipulować danymi, co może prowadzić do utraty integralności i poufności informacji.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie oprogramowania Ciges do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy walidacji i sanitizacji danych wejściowych w aplikacji.

Oryginalny opis (angielski, źródło NVD)

A SQL Injection vulnerability has been found in Ciges 2.15.5 from ATISoluciones. This vulnerability allows an attacker to retrieve, create, update and delete database via $idServicio parameter in /modules/ajaxBloqueaCita.php endpoint.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS