Escanear gratis
HIGHCVE-2018-25195CVSS 8.2

Wecodex Hotel CMS 1.0 Inyección SQL (SQL Injection) vía Login de Administrador

Plataforma

php

Componente

wecodex-hotel-cms

Corregido en

1.0.1

AI Confidence: highNVDEPSS 0.4%Revisado: may 2026
Ver en NVD
Guardar

La vulnerabilidad CVE-2018-25195 es una inyección SQL que afecta a Wecodex Hotel CMS versión 1.0. Esta falla permite a atacantes no autenticados eludir la autenticación al inyectar código SQL malicioso a través del parámetro 'username'. Esto puede resultar en acceso administrativo no autorizado. No se conoce una solución oficial para esta vulnerabilidad.

Impacto y Escenarios de Ataque

La vulnerabilidad CVE-2018-25195 en Wecodex Hotel CMS 1.0 representa un riesgo significativo para la seguridad de los hoteles que utilizan este sistema. Se trata de una inyección SQL en la funcionalidad de inicio de sesión de la administración, permitiendo a atacantes no autenticados eludir la autenticación. Esto significa que un atacante podría acceder a la base de datos sin necesidad de credenciales válidas, comprometiendo información sensible como datos de clientes, detalles de reservas, información financiera e incluso obtener acceso administrativo completo al CMS. La falta de una solución oficial (fix) agrava la situación, dejando a los usuarios vulnerables a ataques. La explotación exitosa podría resultar en la pérdida de control sobre el sistema, robo de datos, y daño a la reputación del hotel.

Contexto de Explotación

La vulnerabilidad se explota enviando payloads SQL maliciosos a través del parámetro 'username' en solicitudes POST dirigidas a 'index.php' con la acción 'processlogin'. Un atacante podría utilizar herramientas como Burp Suite o OWASP ZAP para automatizar el proceso de inyección. La falta de autenticación necesaria para explotar la vulnerabilidad la hace particularmente peligrosa, ya que cualquier persona con acceso a la red del hotel podría potencialmente explotarla. La simplicidad de la explotación aumenta el riesgo de ataques automatizados y masivos.

Quién Está en Riesgotraduciendo…

Hotels and hospitality businesses utilizing Wecodex Hotel CMS version 1.0 are at direct risk. Specifically, those with publicly accessible instances of the CMS and those lacking robust input validation practices are particularly vulnerable. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.

Pasos de Deteccióntraduciendo…

• php: Examine access logs for POST requests to index.php?action=processlogin containing unusual characters or SQL keywords in the username parameter.

 grep -i 'SELECT|UNION|INSERT|DELETE|UPDATE' /var/log/apache2/access.log | grep 'index.php?action=processlogin'

• generic web: Use curl to test the login endpoint with various SQL injection payloads in the username parameter and observe the response for errors or unexpected behavior.

curl -X POST -d "username='; DROP TABLE users;--&password=password" http://your-hotel-cms/index.php?action=processlogin

• database (mysql): If database access is possible, check for unauthorized user accounts or modified database schemas that could indicate compromise.

Cronología del Ataque

  1. Disclosure

    disclosure

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta
Informes1 informe de amenaza

EPSS

0.40% (60% percentil)

CISA SSVC

Explotaciónpoc
Automatizableyes
Impacto Técnicopartial

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N8.2HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityLowRiesgo de modificación no autorizada de datosAvailabilityNoneRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Bajo — el atacante puede modificar algunos datos con alcance limitado.
Availability
Ninguno — sin impacto en disponibilidad.

Software Afectado

Componentewecodex-hotel-cms
ProveedorWecodex
Rango afectadoCorregido en
1.0 – 1.01.0.1

Clasificación de Debilidad (CWE)

CWE-89

Cronología

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS actualizado
Sin parche — 59 días desde la divulgación

Mitigación y Workarounds

Dado que no existe una solución oficial proporcionada por Wecodex, la mitigación de CVE-2018-25195 requiere medidas proactivas y complejas. La primera y más importante es actualizar a una versión más reciente del CMS, si está disponible. Si la actualización no es posible, se recomienda implementar firewalls de aplicaciones web (WAF) para filtrar tráfico malicioso y bloquear intentos de inyección SQL. Además, es crucial realizar una auditoría de seguridad exhaustiva del código fuente para identificar y corregir otras posibles vulnerabilidades. La validación y sanitización rigurosa de todas las entradas de usuario, especialmente en formularios de inicio de sesión, es fundamental. Finalmente, se recomienda monitorear activamente los registros del servidor en busca de actividades sospechosas.

Cómo corregirlo

Actualizar a una versión parcheada o aplicar las medidas de seguridad recomendadas por el proveedor para mitigar la vulnerabilidad de inyección SQL. Se recomienda contactar al proveedor para obtener un parche específico o instrucciones detalladas.

Boletín de seguridad CVE

Análisis de vulnerabilidades y alertas críticas directamente en tu correo.

Preguntas frecuentes

¿Qué es CVE-2018-25195 — SQL Injection en Wecodex Hotel CMS?

La inyección SQL es un tipo de ataque que permite a los atacantes manipular consultas a la base de datos, accediendo a información confidencial o modificando datos.

¿Estoy afectado/a por CVE-2018-25195 en Wecodex Hotel CMS?

Si está utilizando Wecodex Hotel CMS versión 1.0, es probable que sea vulnerable. Realice una auditoría de seguridad o contrate a un profesional para evaluar su sistema.

¿Cómo soluciono CVE-2018-25195 en Wecodex Hotel CMS?

Un WAF (Firewall de Aplicaciones Web) es una herramienta de seguridad que protege las aplicaciones web de ataques comunes, como la inyección SQL.

¿Está siendo explotado activamente CVE-2018-25195?

Existen herramientas como OWASP ZAP y Burp Suite que pueden ayudar a identificar vulnerabilidades de inyección SQL.

¿Dónde encuentro el aviso oficial de Wecodex Hotel CMS para CVE-2018-25195?

Aísle el sistema afectado, cambie todas las contraseñas, notifique a las autoridades competentes y realice una auditoría de seguridad completa.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs