Plataforma
other
Componente
rathena
Corregido en
0.0.1
La vulnerabilidad CVE-2025-58448 es una inyección SQL detectada en el servidor MMORPG de código abierto rAthena. Esta falla permite a un atacante inyectar código SQL malicioso a través del parámetro WorldName en el componente PartyBooking, comprometiendo potencialmente la base de datos del servidor. Las versiones afectadas son aquellas anteriores al commit 0d89ae0. Se recomienda actualizar a la versión 0d89ae0 para corregir esta vulnerabilidad.
Un atacante que explote esta vulnerabilidad de inyección SQL puede ejecutar consultas SQL arbitrarias en la base de datos de rAthena. Esto podría resultar en la exfiltración de datos sensibles, como nombres de usuario, contraseñas, información de personajes y datos de juego. Además, el atacante podría modificar o eliminar datos, comprometiendo la integridad del servidor y la experiencia de juego de los usuarios. La inyección SQL es una vulnerabilidad ampliamente explotada, y la severidad CRÍTICA de esta CVE indica un alto riesgo de explotación exitosa si no se toman medidas correctivas. La falta de validación adecuada del parámetro WorldName es la causa raíz de esta vulnerabilidad.
La vulnerabilidad CVE-2025-58448 fue publicada el 9 de septiembre de 2025. No se han reportado activamente campañas de explotación a la fecha. La ausencia de un puntaje EPSS indica una probabilidad de explotación baja a moderada. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Game server administrators and players of rAthena MMORPG servers running vulnerable versions are at risk. This includes both public and private server instances. Shared hosting environments where multiple rAthena servers are hosted on the same infrastructure are particularly vulnerable, as a compromise of one server could potentially lead to the compromise of others.
disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-58448 es actualizar rAthena a la versión 0d89ae0, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas de usuario, el uso de consultas parametrizadas para evitar la inyección SQL y la limitación de los privilegios de la cuenta de base de datos utilizada por rAthena. Implementar un firewall de aplicaciones web (WAF) puede ayudar a bloquear intentos de inyección SQL. Después de la actualización, confirme la corrección ejecutando pruebas de penetración o utilizando herramientas de escaneo de vulnerabilidades para verificar que la vulnerabilidad ha sido resuelta.
Actualice rAthena a una versión posterior al commit 0d89ae0. Esto solucionará la vulnerabilidad de inyección SQL en el componente PartyBooking. Consulte el commit 0d89ae071ff5e46e8dedcf45d060acec84b3abb5 para obtener más detalles sobre la corrección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-58448 is a critical SQL Injection vulnerability affecting rAthena MMORPG servers before version 0d89ae0. The WorldName parameter in the PartyBooking component is vulnerable, allowing attackers to inject malicious SQL code.
You are affected if you are running rAthena MMORPG server versions prior to commit 0d89ae0. Check your server version and upgrade immediately if vulnerable.
Upgrade your rAthena server to version 0d89ae0 or later. Implement input validation on the WorldName parameter as a temporary workaround if immediate upgrade is not possible.
As of 2025-09-09, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the rAthena project's official website and commit history for details and updates regarding CVE-2025-58448 and the associated fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.