Plateforme
php
Composant
edirectory
Corrigé dans
1.0.1
La vulnérabilité CVE-2019-25675 affecte eDirectory, permettant des injections SQL. Cette faille permet à des attaquants non authentifiés de contourner l'authentification administrateur et de divulguer des fichiers sensibles en injectant du code SQL dans les paramètres. Les versions concernées sont 1.0.0 à 1.0, et à l'heure actuelle, aucune correction officielle n'est disponible.
La CVE-2019-25675 affecte eDirectory, révélant de multiples vulnérabilités d'injection SQL. Ces failles permettent à des attaquants non authentifiés de contourner l'authentification de l'administrateur et de potentiellement divulguer des fichiers sensibles du serveur. L'attaque se concentre sur le paramètre clé au sein du point d'entrée de connexion, où du code SQL peut être injecté en utilisant des techniques d'injection SQL 'basées sur UNION' pour simuler l'authentification en tant qu'administrateur. Une fois authentifié, l'attaquant peut exploiter les vulnérabilités de divulgation de fichiers authentifiées dans language_file.php pour lire des fichiers PHP arbitraires, compromettant potentiellement l'intégrité et la confidentialité de l'application eDirectory. La vulnérabilité est notée avec un score CVSS de 8.2, indiquant un risque important.
L'exploitation de la CVE-2019-25675 nécessite un attaquant ayant une expertise technique en injection SQL. L'attaque commence par l'injection de code SQL dans le paramètre de connexion, permettant l'authentification en tant qu'administrateur sans identifiants valides. Une fois à l'intérieur, l'attaquant peut utiliser la fonction languagefile.php pour lire des fichiers PHP sensibles, révélant potentiellement des informations de configuration, des mots de passe ou d'autres données confidentielles. L'absence de validation des entrées et d'encodage des sorties dans eDirectory facilite l'exploitation de ces vulnérabilités. Le succès de l'attaque dépend de la configuration du serveur et de la présence de fichiers PHP accessibles via languagefile.php.
Organizations using eDirectory versions 1.0.0 through 1.0, particularly those with publicly accessible eDirectory instances, are at significant risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's eDirectory instance could potentially lead to the compromise of others.
• php: Examine access logs for suspicious SQL injection attempts targeting the login endpoint. Look for unusual characters or patterns in the 'key' parameter.
grep -i 'union select' /var/log/apache2/access.log• php: Review language_file.php for any unusual code or modifications that could facilitate file disclosure.
find /var/www/html/edirectory -name language_file.php -print• generic web: Monitor network traffic for connections to the eDirectory server from unusual IP addresses or locations. • generic web: Check for unexpected files or directories on the server that may have been created by an attacker.
disclosure
Statut de l'Exploit
EPSS
0.19% (percentile 41%)
CISA SSVC
Vecteur CVSS
Actuellement, il n'y a pas de correctif (fix) officiel fourni par le fournisseur pour la CVE-2019-25675. L'atténuation immédiate nécessite un examen approfondi du code source d'eDirectory pour identifier et corriger les vulnérabilités d'injection SQL et de divulgation de fichiers. L'implémentation d'un pare-feu applicatif Web (WAF) pour filtrer le trafic malveillant et bloquer les tentatives d'injection SQL est fortement recommandé. De plus, le respect du principe du 'moindre privilège', en limitant les permissions des comptes utilisateurs et de service, est crucial pour minimiser l'impact d'une éventuelle violation. La surveillance active des journaux du serveur à la recherche de schémas d'attaque suspects est également essentielle. En raison de l'absence de correctif, la mise à niveau vers une version plus sécurisée d'eDirectory, si elle est disponible, est la meilleure option à long terme.
Actualice a la última versión disponible de eDirectory, ya que la vulnerabilidad de inyección SQL de autenticación bypass afecta a todas las versiones. Revise y fortalezca las medidas de seguridad, incluyendo la validación y sanitización de entradas de usuario en el endpoint de inicio de sesión y en el manejo de archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une technique d'injection SQL qui utilise la clause UNION pour combiner le résultat d'une requête malveillante avec le résultat d'une requête légitime, permettant à l'attaquant d'extraire des données de la base de données.
Un pare-feu applicatif Web (WAF) est un outil de sécurité qui filtre le trafic HTTP/HTTPS, bloquant les attaques courantes telles que l'injection SQL et le cross-site scripting (XSS).
Si vous utilisez eDirectory, évaluez immédiatement le code source, implémentez un WAF et surveillez les journaux du serveur. Envisagez de mettre à niveau vers une version plus sécurisée si elle est disponible.
Oui, la vulnérabilité est exploitable à distance, ce qui signifie qu'un attaquant peut compromettre le système depuis n'importe où avec un accès à Internet.
Il existe des scanners de vulnérabilité qui peuvent détecter les injections SQL. Cependant, l'examen manuel du code source reste crucial.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.