Plateforme
php
Composant
pocs
Corrigé dans
1.0.1
La vulnérabilité CVE-2025-0212 affecte la bibliothèque elliptic, permettant potentiellement l'extraction de clés privées ECDSA lors de la signature de données malformées, comme des chaînes de caractères ou des nombres. Cette faille peut entraîner la compromission de la confidentialité des données sensibles. Les versions concernées sont celles antérieures à 6.6.1. Une correction est disponible dans la version 6.6.1.
Une vulnérabilité critique a été identifiée dans le système de notation des étudiants Campcodes version 1.0 (CVE-2025-0212). Cette faille d'injection SQL affecte le fichier /view_students.php et permet à un attaquant distant de manipuler l'argument 'id' pour exécuter du code SQL malveillant. L'impact potentiel est sévère, incluant la possible extraction de données sensibles de la base de données, la modification des enregistrements d'étudiants ou même la prise de contrôle du système. La divulgation publique de l'exploit aggrave la situation, augmentant le risque d'attaques.
La vulnérabilité est exploitée par la manipulation du paramètre 'id' dans l'URL du fichier /view_students.php. Un attaquant peut injecter du code SQL malveillant dans ce paramètre, qui est ensuite exécuté contre la base de données. La nature distante de la vulnérabilité signifie qu'un attaquant n'a pas besoin d'un accès physique au serveur pour l'exploiter. La divulgation publique de l'exploit facilite la réplication de l'attaque par des acteurs malveillants, augmentant l'urgence d'appliquer la correction.
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour immédiatement le système Campcodes Student Grading System à la version 1.0.1. Cette version inclut une correction pour la vulnérabilité d'injection SQL. En attendant, comme mesure temporaire, restreignez l'accès au fichier /view_students.php et appliquez une validation stricte des entrées utilisateur, en particulier pour le paramètre 'id'. L'implémentation d'un pare-feu applicatif web (WAF) peut également aider à atténuer le risque. Des audits de sécurité réguliers sont essentiels pour identifier et corriger les futures vulnérabilités.
Actualice el sistema a una versión parcheada o aplique las correcciones de seguridad proporcionadas por el proveedor. Valide y filtre las entradas del usuario, especialmente el parámetro 'id' en el archivo 'view_students.php', para prevenir ataques de inyección SQL. Implemente el principio de mínimo privilegio para las cuentas de base de datos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SQL injection is an attack technique that allows an attacker to insert malicious SQL code into a database query, potentially leading to data extraction, modification, or deletion.
CVE-2025-0212 is a unique identifier for this specific vulnerability, facilitating its tracking and referencing.
If you cannot update immediately, implement mitigating measures such as input validation and restricting access to the vulnerable file.
Vulnerability scanning tools can detect this vulnerability. Consult with your security provider for recommendations.
Contact Campcodes support for more information and assistance.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.