Plataforma
php
Componente
wowwo-crm
Corregido en
1.0.1
Se ha descubierto una vulnerabilidad de inyección SQL ciega en Wowwo CRM, un software de gestión de relaciones con clientes (CRM). Esta falla permite a un atacante inyectar comandos SQL maliciosos, potencialmente comprometiendo la integridad y confidencialidad de los datos almacenados en la base de datos. La vulnerabilidad afecta a las versiones 0–0 de Wowwo CRM y requiere una actualización a la versión 0.0.1 para su correcta mitigación.
La inyección SQL ciega permite a un atacante, aunque sin recibir respuesta directa de la base de datos, realizar consultas SQL para extraer información sensible. Esto puede incluir nombres de usuario, contraseñas, información de clientes, datos financieros y cualquier otra información almacenada en la base de datos de Wowwo CRM. Un atacante podría utilizar esta vulnerabilidad para realizar ingeniería inversa del esquema de la base de datos, identificar credenciales válidas y, finalmente, obtener acceso no autorizado al sistema. La falta de confirmación de la corrección por parte del proveedor aumenta el riesgo de explotación, especialmente si el sistema está expuesto a Internet.
La vulnerabilidad CVE-2024-12150 ha sido publicada el 27 de junio de 2025. No se ha confirmado su explotación activa en campañas conocidas, pero la naturaleza crítica de la vulnerabilidad y la falta de confirmación de la corrección por parte del proveedor sugieren un riesgo significativo. La inyección SQL ciega, aunque más compleja de explotar que la inyección SQL tradicional, puede ser aprovechada por atacantes con conocimientos técnicos. Se recomienda monitorear activamente los sistemas Wowwo CRM para detectar posibles intentos de explotación.
Organizations that rely on Wowwo CRM for customer relationship management and store sensitive data are at significant risk. This includes businesses of all sizes, particularly those using older, unpatched versions of the CRM. Shared hosting environments where multiple customers share the same server instance are also at increased risk, as a compromise of one customer's CRM instance could potentially impact others.
• php: Examine web server access logs for unusual SQL query patterns or error messages related to SQL syntax. Look for requests containing potentially malicious SQL code in GET or POST parameters.
grep -i 'sqlinjection|mysql_query' /var/log/apache2/access.log• generic web: Use curl to test vulnerable endpoints with SQL injection payloads. Monitor the response for any signs of error messages or data leakage.
curl -X POST -d "username=' OR '1'='1" http://wowwo-crm/login.php• database (mysql): Monitor MySQL logs for suspicious query patterns or error messages related to SQL syntax. Check for unauthorized access attempts to sensitive tables.
SELECT * FROM mysql.user WHERE user = 'attacker';disclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
Dado que el proveedor aún no ha confirmado la corrección, la mitigación inmediata se centra en reducir la superficie de ataque. Implemente reglas de firewall para restringir el acceso a Wowwo CRM solo a fuentes confiables. Utilice un Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección SQL. Revise y fortalezca las configuraciones de seguridad de la base de datos, incluyendo la aplicación de contraseñas robustas y la limitación de los privilegios de acceso. Monitoree los registros de Wowwo CRM y la base de datos en busca de patrones sospechosos de inyección SQL. Una vez disponible, aplique la actualización a la versión 0.0.1 de Wowwo CRM para eliminar la vulnerabilidad de forma definitiva. Después de la actualización, confirme la mitigación revisando los registros de seguridad y realizando pruebas de penetración.
Actualice Wowwo CRM a la última versión disponible proporcionada por el proveedor, una vez que se publique una versión corregida. Consulte el sitio web del proveedor para obtener actualizaciones e instrucciones específicas sobre cómo aplicar el parche o la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12150 is a critical SQL Injection vulnerability in Wowwo CRM allowing Blind SQL Injection, potentially leading to unauthorized data access. It impacts versions 0–0.
If you are using Wowwo CRM version 0–0, you are potentially affected by this vulnerability. Upgrade to version 0.0.1 as soon as possible.
The recommended fix is to upgrade to version 0.0.1 of Wowwo CRM. If upgrading is not immediately possible, implement WAF rules and sanitize user inputs.
While no active exploitation has been confirmed, the vulnerability's nature makes it a likely target. Monitor your systems closely for suspicious activity.
Please refer to the vendor's official website or security advisory channels for the latest information regarding CVE-2024-12150.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.