Plataforma
php
Componente
aerocms
Corregido en
0.0.2
La vulnerabilidad CVE-2022-50895 es una inyección SQL presente en Aero CMS, específicamente en el parámetro 'author'. Esta falla permite a atacantes manipular las consultas a la base de datos, lo que puede resultar en la extracción de información confidencial y el control del sistema. La vulnerabilidad afecta a las versiones 0.0.1 a 0.0.1 de Aero CMS. Se recomienda actualizar a una versión corregida o implementar medidas de mitigación.
Un atacante puede explotar esta vulnerabilidad inyectando código SQL malicioso a través del parámetro 'author'. Esto permite la ejecución de consultas arbitrarias en la base de datos, lo que puede resultar en la extracción de nombres de usuario, contraseñas, información de clientes y otros datos sensibles. Además, un atacante podría modificar datos, eliminar registros o incluso obtener acceso al sistema operativo subyacente. La severidad crítica de esta vulnerabilidad indica un alto riesgo de compromiso del sistema y pérdida de datos. La explotación se basa en técnicas comunes de inyección SQL como boolean-based, error-based, time-based y UNION query, lo que facilita su aprovechamiento.
La vulnerabilidad CVE-2022-50895 fue publicada el 13 de enero de 2026. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la publicación. No se han reportado campañas de explotación activas conocidas públicamente. La disponibilidad de técnicas de inyección SQL bien conocidas facilita la explotación de esta vulnerabilidad.
Organizations and individuals using Aero CMS versions 0.0.1–0.0.1, particularly those hosting the CMS on shared hosting environments or without robust input validation measures, are at significant risk. Systems with weak database configurations or default credentials are also more vulnerable to exploitation.
• php / web:
curl -I 'http://your-aero-cms-site.com/?author='; # Check for SQL injection indicators in the response headers• generic web:
grep -i "union select" /var/log/apache2/access.log; # Look for UNION SELECT queries in access logsdisclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Aero CMS a una versión corregida que solucione esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar validación de entrada rigurosa en el parámetro 'author' para prevenir la inyección de código SQL. Esto puede incluir el uso de funciones de escape o la implementación de una lista blanca de caracteres permitidos. Además, se recomienda limitar los privilegios de la cuenta de base de datos utilizada por Aero CMS para reducir el impacto de una posible explotación. Verifique después de la actualización que la consulta al parámetro 'author' no devuelva errores o resultados inesperados.
Actualizar a una versión corregida del Aero CMS. La vulnerabilidad de inyección SQL en el parámetro 'author' permite la manipulación de consultas a la base de datos. Se recomienda revisar y sanear todas las entradas del usuario para prevenir futuras inyecciones SQL.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-50895 is a critical SQL injection vulnerability affecting Aero CMS versions 0.0.1–0.0.1, allowing attackers to manipulate database queries and potentially compromise the system.
If you are using Aero CMS version 0.0.1–0.0.1, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as it's available.
The recommended fix is to upgrade to a patched version of Aero CMS. Until a patch is available, implement input validation and consider using a WAF.
While no widespread exploitation has been publicly confirmed, the ease of exploitation suggests attackers may be actively targeting vulnerable systems.
Refer to the Aero CMS official website or security advisories for updates and information regarding CVE-2022-50895.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.