Plateforme
php
Composant
qdpm
Corrigé dans
9.1.1
La vulnérabilité CVE-2018-25208 est une faille d'injection SQL affectant qdPM version 9.1. Elle permet à des attaquants non authentifiés d'extraire des informations de la base de données en injectant du code SQL via les paramètres 'filter_by'. L'exploitation de cette vulnérabilité peut mener à la récupération de données sensibles. Les versions 9.1 à 9.1 sont concernées. Aucun correctif officiel n'est disponible.
La vulnérabilité CVE-2018-25208 affecte qdPM, exposant les utilisateurs à un risque important d'injection SQL. Cette vulnérabilité permet à des attaquants non authentifiés d'extraire des informations sensibles de la base de données. Le vecteur d'attaque se concentre sur les paramètres filterby[CommentCreatedFrom] et filterby[CommentCreatedTo] au sein du point de terminaison timeReport. Un attaquant peut soumettre des requêtes POST malveillantes avec du code SQL injecté dans ces paramètres, ce qui lui permet d'exécuter des requêtes SQL arbitraires et d'accéder à des données confidentielles. L'absence d'authentification requise pour exploiter cette vulnérabilité la rend particulièrement dangereuse, car toute personne ayant accès au réseau pourrait potentiellement compromettre la base de données. Le score CVSS de 8.2 indique un risque élevé, nécessitant une attention immédiate. L'absence de correctif officiel (fix: none) aggrave la situation, laissant les utilisateurs vulnérables jusqu'à ce que des mesures d'atténuation soient mises en œuvre.
La vulnérabilité CVE-2018-25208 dans qdPM est exploitée par le biais de requêtes POST ciblant le point de terminaison timeReport. Un attaquant construit une requête POST avec des données malveillantes dans les paramètres filterby[CommentCreatedFrom] et filterby[CommentCreatedTo]. Ces paramètres, sans validation appropriée, permettent l'injection de code SQL. L'attaquant peut injecter des commandes SQL arbitraires qui seront exécutées sur la base de données sous-jacente. L'absence d'authentification signifie que tout utilisateur ayant accès au réseau peut tenter d'exploiter cette vulnérabilité. Le succès de l'exploitation dépend de la configuration de la base de données et des privilèges de l'utilisateur de la base de données utilisés par qdPM. Une fois exploitée, l'attaquant peut extraire des informations confidentielles, modifier des données ou même prendre le contrôle de la base de données.
Organizations deploying qdPM version 9.1 are at direct risk. Specifically, environments where the timeReport endpoint is exposed to the internet or accessible to untrusted users are particularly vulnerable. Shared hosting environments utilizing qdPM 9.1 should be considered high-risk due to the potential for cross-tenant exploitation.
• php / web:
grep -r "filter_by[CommentCreatedFrom]" /var/www/qdPM/timeReport.php• generic web:
curl -X POST -d "filter_by[CommentCreatedFrom]='; DROP TABLE users; --" http://your-qdpm-server/timeReport• generic web: Examine access logs for POST requests to /timeReport with unusual or malformed filter_by parameters.
• generic web: Check response headers for SQL errors or unexpected behavior after submitting crafted requests.
disclosure
Statut de l'Exploit
EPSS
0.09% (percentile 25%)
CISA SSVC
Vecteur CVSS
Étant donné qu'il n'existe pas de correctif officiel pour CVE-2018-25208 dans qdPM, l'atténuation se concentre sur des mesures de sécurité complémentaires. La validation et la désinfection rigoureuses de toutes les entrées utilisateur, en particulier les paramètres filterby[CommentCreatedFrom] et filterby[CommentCreatedTo], sont essentielles. La mise en œuvre d'une liste blanche de caractères autorisés et le rejet de toute entrée contenant des caractères inattendus peuvent aider à prévenir l'injection SQL. De plus, il est fortement recommandé d'utiliser des requêtes paramétrées ou des procédures stockées au lieu de construire dynamiquement des requêtes SQL. La segmentation du réseau et la limitation des privilèges de la base de données peuvent également aider à réduire l'impact d'une éventuelle exploitation. La surveillance active des journaux du serveur à la recherche de modèles suspects d'injection SQL est essentielle pour la détection précoce. Envisagez de mettre à niveau vers une version plus récente de qdPM, si disponible, ou de rechercher des solutions alternatives qui traitent cette vulnérabilité.
Mettre à jour qdPM vers une version postérieure à la 9.1 qui corrige la vulnérabilité d'injection SQL (SQL Injection). S'il n'y a pas de version disponible, il est recommandé d'appliquer un correctif de sécurité qui filtre et échappe correctement les entrées des paramètres filter_by[CommentCreatedFrom] et filter_by[CommentCreatedTo] dans le point de terminaison timeReport.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est un type de vulnérabilité de sécurité qui permet aux attaquants d'interférer avec les requêtes envoyées à une base de données.
qdPM est un logiciel qui contient la vulnérabilité CVE-2018-25208. Les informations spécifiques sur sa fonctionnalité ne sont pas disponibles dans le contexte fourni.
Cette vulnérabilité permet aux attaquants d'accéder à des informations confidentielles de la base de données, ce qui peut avoir de graves conséquences pour la confidentialité et la sécurité.
Si vous utilisez qdPM, vous êtes probablement vulnérable à moins que vous n'ayez mis en œuvre des mesures d'atténuation.
Vous pouvez trouver plus d'informations sur CVE-2018-25208 sur les bases de données de vulnérabilités telles que la National Vulnerability Database (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.