Plataforma
php
Componente
melisplatform/melis-cms
Corregido en
5.3.4
5.3.4
Se ha descubierto una vulnerabilidad de inyección SQL en el módulo melis-cms de la plataforma Melis, desarrollada por Melis Technology. Esta falla permite a un atacante ejecutar consultas SQL maliciosas, comprometiendo la integridad y confidencialidad de la base de datos. La vulnerabilidad afecta a versiones de Melis CMS hasta la 5.3.3, y se recomienda actualizar a la versión 5.3.4 para solucionar el problema.
La inyección SQL en Melis CMS permite a un atacante obtener acceso no autorizado a la base de datos de la aplicación. Esto incluye la capacidad de leer, insertar, actualizar y eliminar datos. Un atacante podría extraer información confidencial como nombres de usuario, contraseñas, datos personales de clientes, o incluso el código fuente de la aplicación. Además, podrían modificar datos críticos, comprometiendo la funcionalidad de la plataforma y la integridad de los datos almacenados. La severidad crítica de esta vulnerabilidad implica un alto riesgo de explotación y un impacto significativo en la seguridad de la información.
Esta vulnerabilidad ha sido publicada el 8 de octubre de 2025. No se ha reportado su inclusión en el KEV de CISA al momento de la publicación. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza crítica de la vulnerabilidad y su relativa facilidad de explotación sugieren un riesgo potencial de explotación en el futuro. Se recomienda monitorear activamente las fuentes de inteligencia de amenazas para detectar cualquier indicio de actividad maliciosa.
Organizations utilizing Melis CMS versions 5.3.3 and earlier, particularly those hosting the CMS on shared hosting environments or with limited security controls, are at significant risk. Those who have not implemented robust input validation practices or web application firewalls are also more vulnerable.
• php: Examine application logs for SQL injection attempts targeting the '/melis/MelisCms/PageEdition/getTinyTemplates' endpoint. Look for unusual SQL queries containing malicious payloads.
grep -i 'idPage=.*(select|union|insert|delete|drop)' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with various SQL injection payloads and observe the response for errors or unexpected data.
curl 'http://your-melis-cms-server/melis/MelisCms/PageEdition/getTinyTemplates?idPage=1 UNION SELECT user(),database() -- ' disclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar Melis CMS a la versión 5.3.4 o superior, donde se ha corregido el problema. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la validación estricta de todas las entradas de usuario, el uso de consultas parametrizadas para evitar la inyección SQL, y la implementación de un firewall de aplicaciones web (WAF) para filtrar tráfico malicioso. Monitorear los logs de la aplicación en busca de patrones sospechosos de inyección SQL también es crucial. Después de la actualización, confirmar la mitigación revisando los logs y realizando pruebas de penetración.
Actualice la plataforma Melis a la versión 5.3.4 o superior. Esta actualización corrige la vulnerabilidad de inyección SQL en el módulo Melis CMS. Se recomienda realizar una copia de seguridad antes de actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-10351 is a critical SQL injection vulnerability affecting Melis CMS versions up to 5.3.3, allowing attackers to manipulate databases through the 'idPage' parameter.
Yes, if you are running Melis CMS versions 5.3.3 or earlier, you are vulnerable to this SQL injection flaw.
Upgrade Melis CMS to version 5.3.4 or later. As a temporary workaround, implement input validation and WAF rules.
While no public exploits are currently available, the vulnerability's severity suggests a potential for active exploitation.
Refer to the official Melis Technology website and security advisories for the latest information and updates regarding CVE-2025-10351.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.