CVE-2018-25208: SQL Injection en qdPM 9.1
Plataforma
php
Componente
qdpm
La vulnerabilidad CVE-2018-25208 es una inyección SQL que afecta a qdPM versión 9.1. Esta falla permite a atacantes no autenticados extraer información de la base de datos inyectando código SQL a través de los parámetros 'filter_by'. Esto puede resultar en la extracción de datos sensibles. No se conoce una solución oficial para esta vulnerabilidad.
Cómo corregirlo
Actualizar qdPM a una versión posterior a la 9.1 que solucione la vulnerabilidad de inyección SQL. Si no hay una versión disponible, se recomienda aplicar un parche de seguridad que filtre y escape correctamente las entradas de los parámetros filter_by[CommentCreatedFrom] y filter_by[CommentCreatedTo] en el endpoint timeReport.
Preguntas frecuentes
¿Qué es CVE-2018-25208?
Es una vulnerabilidad de inyección SQL en qdPM 9.1 que permite a atacantes extraer información de la base de datos.
¿Estoy afectado por CVE-2018-25208?
Si utilizas qdPM versión 9.1, es probable que seas vulnerable a esta inyección SQL.
¿Cómo puedo solucionar CVE-2018-25208?
Actualmente no hay un parche oficial disponible. Se recomienda aplicar medidas de mitigación como la validación de entradas y el uso de consultas parametrizadas.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis