Plataforma
other
Componente
unica
Corregido en
25.1.2
CVE-2025-62319 describe una vulnerabilidad de Inyección SQL Booleana en Unica, versiones hasta la 25.1.1 inclusive. Esta falla permite a un atacante manipular consultas SQL mediante la inyección de condiciones booleanas, lo que puede resultar en la extracción de información sensible y la posible alteración de la configuración del sistema. La vulnerabilidad fue publicada el 16 de marzo de 2026 y se recomienda aplicar las actualizaciones de seguridad o implementar medidas de mitigación.
La Inyección SQL Booleana en Unica permite a un atacante, sin necesidad de errores visibles en la base de datos, inferir información sobre la estructura y el contenido de la base de datos. Al inyectar condiciones booleanas en los campos de entrada de la aplicación, el atacante puede determinar si una condición específica es verdadera o falsa. Esto permite la extracción de datos confidenciales, como nombres de usuario, contraseñas, información financiera y datos de configuración. Además, un atacante podría modificar la configuración del sistema, comprometiendo la integridad de la aplicación y los datos almacenados. La severidad crítica de esta vulnerabilidad se debe a la facilidad con la que puede ser explotada y el potencial daño que puede causar.
La vulnerabilidad CVE-2025-62319 ha sido publicada recientemente y su estado de explotación activa es desconocido. No se ha añadido a la lista KEV de CISA ni se ha identificado un puntaje EPSS. La naturaleza de la Inyección SQL Booleana, aunque requiere un poco más de esfuerzo que una inyección SQL directa, la hace susceptible a ser explotada una vez que se conocen los detalles de la vulnerabilidad. Se recomienda monitorear activamente los sistemas Unica para detectar cualquier actividad sospechosa.
Organizations utilizing Unica for marketing automation and customer relationship management are at risk, particularly those running versions 25.1.1 or earlier. Shared hosting environments where multiple tenants share a database are also at increased risk, as a compromise of one tenant could potentially lead to the compromise of others.
disclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-62319 es actualizar Unica a una versión corregida, una vez disponible. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas incluyen la validación y sanitización rigurosa de todas las entradas de usuario para prevenir la inyección de código SQL. Además, se pueden implementar reglas en un firewall de aplicaciones web (WAF) para detectar y bloquear patrones de inyección SQL. Es crucial revisar y endurecer la configuración de la base de datos, limitando los privilegios de acceso y aplicando el principio de mínimo privilegio. Después de la actualización, confirme la mitigación ejecutando pruebas de penetración para verificar que la vulnerabilidad ha sido resuelta.
Actualice a una versión posterior a la 25.1.1. Consulte el artículo de la base de conocimientos de HCL para obtener más detalles e instrucciones específicas de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-62319 is a critical SQL Injection vulnerability affecting Unica versions 25.1.1 and below, allowing attackers to manipulate SQL queries and potentially access sensitive data.
If you are using Unica version 25.1.1 or earlier, you are potentially affected by this vulnerability. Check your version and apply the available patch as soon as possible.
The recommended fix is to upgrade to a patched version of Unica. Monitor the vendor's website for the availability of the patch.
While no active exploitation has been confirmed, the high CVSS score and the well-understood nature of SQL injection suggest a high probability of exploitation.
Refer to the official Unica security advisories on the vendor's website for the latest information and patch details.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.