Escanear gratis
CRITICALCVE-2025-4784CVSS 9.8

SQLi en Moderec's Tourtella

Plataforma

other

Componente

tourtella

Corregido en

26.05.2025

AI Confidence: highNVDEPSS 0.1%Revisado: may 2026
Ver en NVD
Guardar

La vulnerabilidad CVE-2025-4784 es una inyección SQL detectada en Tourtella, que permite a un atacante manipular consultas SQL. Esta falla puede resultar en el acceso no autorizado a datos sensibles almacenados en la base de datos. La vulnerabilidad afecta a todas las versiones de Tourtella anteriores al 26.05.2025, y se ha solucionado en la versión 26.05.2025.

Impacto y Escenarios de Ataque

Un atacante que explote esta vulnerabilidad de inyección SQL podría obtener acceso no autorizado a la base de datos de Tourtella. Esto podría incluir la lectura, modificación o eliminación de datos confidenciales, como información de usuarios, contraseñas, datos financieros o cualquier otra información almacenada en la base de datos. La inyección SQL es una técnica de ataque bien conocida y ampliamente utilizada, y su éxito depende de la falta de validación adecuada de las entradas del usuario. En casos extremos, un atacante podría incluso ejecutar comandos del sistema operativo a través de la base de datos, comprometiendo la integridad y confidencialidad del sistema.

Contexto de Explotación

La vulnerabilidad CVE-2025-4784 fue publicada el 24 de julio de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. La disponibilidad de un PoC público podría facilitar su explotación, por lo que se recomienda monitorear activamente los foros de seguridad y las fuentes de inteligencia de amenazas.

Quién Está en Riesgotraduciendo…

Organizations utilizing Moderec Tourtella, particularly those handling sensitive user data or operating in environments with limited security controls, are at significant risk. Those using older, unpatched versions of Tourtella are especially vulnerable.

Cronología del Ataque

  1. Disclosure

    disclosure

  2. Patch

    patch

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

EPSS

0.05% (16% percentil)

CISA SSVC

Explotaciónnone
Automatizableyes
Impacto Técnicototal

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentetourtella
ProveedorModerec
Rango afectadoCorregido en
0 – 26.05.202526.05.2025

Clasificación de Debilidad (CWE)

CWE-89

Cronología

  1. Reservado
  2. Publicada
  3. EPSS actualizado

Mitigación y Workarounds

La mitigación principal para CVE-2025-4784 es actualizar Tourtella a la versión 26.05.2025 o posterior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas del usuario y el uso de consultas parametrizadas o procedimientos almacenados para evitar la inyección SQL. Además, es crucial revisar y fortalecer las políticas de seguridad de la base de datos, incluyendo el principio de mínimo privilegio para los usuarios de la base de datos. Después de la actualización, confirmar la corrección ejecutando pruebas de penetración o utilizando herramientas de escaneo de vulnerabilidades.

Cómo corregirlo

Actualice Tourtella a la versión 26.05.2025 o posterior. Esto corregirá la vulnerabilidad de inyección SQL. Consulte el aviso de seguridad del proveedor para obtener más detalles.

Boletín de seguridad CVE

Análisis de vulnerabilidades y alertas críticas directamente en tu correo.

Preguntas frecuentestraduciendo…

What is CVE-2025-4784 — SQL Injection in Moderec Tourtella?

CVE-2025-4784 is a critical SQL Injection vulnerability in Moderec Tourtella, allowing attackers to inject malicious SQL code and potentially access or modify data.

Am I affected by CVE-2025-4784 in Moderec Tourtella?

If you are using Moderec Tourtella versions prior to 26.05.2025, you are affected by this vulnerability.

How do I fix CVE-2025-4784 in Moderec Tourtella?

Upgrade to version 26.05.2025 or later to remediate the vulnerability. Implement input validation and parameterized queries as an interim measure.

Is CVE-2025-4784 being actively exploited?

While no active exploitation has been confirmed, the high severity and nature of the vulnerability suggest a potential for exploitation.

Where can I find the official Moderec advisory for CVE-2025-4784?

Refer to the Moderec security advisory for detailed information and updates regarding CVE-2025-4784.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs