Plataforma
other
Componente
yordam-library-automation-system
Corregido en
21.7
Se ha identificado una vulnerabilidad de inyección SQL en el sistema Yordam Library Automation System, específicamente en las versiones 21.5 y 21.6. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo potencialmente la integridad y confidencialidad de los datos almacenados. La versión 21.7 incluye una corrección para esta vulnerabilidad, y se recomienda actualizar a esta versión lo antes posible.
La inyección SQL en Yordam Library Automation System permite a un atacante ejecutar comandos SQL arbitrarios en la base de datos subyacente. Esto podría resultar en la extracción de información sensible, como datos de usuarios, información de préstamos y registros de la biblioteca. Un atacante podría modificar o eliminar datos, comprometiendo la integridad del sistema. Además, la ejecución de comandos arbitrarios podría permitir el acceso no autorizado al servidor de la base de datos, abriendo la puerta a ataques más sofisticados y potencialmente permitiendo el control total del sistema. Esta vulnerabilidad es particularmente grave debido a su alta puntuación CVSS y la posibilidad de acceso no autorizado a información crítica.
La vulnerabilidad CVE-2025-10439 fue publicada el 17 de septiembre de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS indica un riesgo significativo. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso. La falta de un PoC público no disminuye la necesidad de aplicar las mitigaciones recomendadas.
Libraries and educational institutions utilizing Yordam Library Automation System versions 21.5 and 21.6 are at significant risk. Organizations with limited security resources or those who have not implemented robust input validation practices are particularly vulnerable.
• linux / server: Monitor database logs for unusual SQL queries or error messages. Use auditd to track database access and identify suspicious patterns.
auditctl -w /var/log/mysql/error.log -p wa -k sql_injection• database (mysql): Run queries to check for potential injection points. ``mysql -e "SELECT VERSION()" -u root``
• generic web: Test application endpoints for SQL injection vulnerabilities using automated scanners or manual techniques. Examine access logs for unusual patterns.
disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 21.7 de Yordam Library Automation System, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas medidas incluyen la implementación de reglas de firewall de aplicaciones web (WAF) para filtrar el tráfico malicioso y la validación estricta de todas las entradas de usuario para prevenir la inyección de código SQL. Además, se recomienda revisar y fortalecer las políticas de seguridad de la base de datos, incluyendo la restricción de los privilegios de acceso a la base de datos y la implementación de auditorías de seguridad regulares. Tras la actualización, verificar la correcta aplicación del parche revisando los logs del sistema en busca de intentos de inyección SQL.
Actualice el Sistema de Automatización de Bibliotecas Yordam a la versión 21.7 o superior. Esta actualización corrige la vulnerabilidad de inyección SQL. Consulte el aviso de seguridad del proveedor para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-10439 is a critical SQL Injection vulnerability affecting Yordam Library Automation System versions 21.5 and 21.6, allowing attackers to potentially access and manipulate the database.
If you are using Yordam Library Automation System versions 21.5 or 21.6, you are affected by this vulnerability. Upgrade to version 21.7 to mitigate the risk.
The recommended fix is to upgrade to version 21.7 of the Yordam Library Automation System. If immediate upgrade is not possible, implement temporary workarounds like input validation.
While no active exploitation campaigns have been confirmed, the CRITICAL severity suggests a high probability of exploitation. Monitor your systems closely.
Refer to the official Yordam Informatics website or security advisories for the most up-to-date information and guidance regarding CVE-2025-10439.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.