Plateforme
php
Composant
windesk.fm
Corrigé dans
2.3.4
Une vulnérabilité de type SQL Injection a été découverte dans Windesk.Fm, un logiciel développé par Signum Technology Promotion and Training Inc. Cette faille permet à un attaquant d'injecter des requêtes SQL malveillantes, potentiellement compromettant l'intégrité et la confidentialité des données. Elle affecte les versions du logiciel antérieures à la version v2.3.4. Une correction a été déployée par le fournisseur après la publication du CVE.
L'exploitation réussie de cette vulnérabilité SQL Injection peut permettre à un attaquant d'accéder, de modifier ou de supprimer des données sensibles stockées dans la base de données de Windesk.Fm. Cela pourrait inclure des informations personnelles, des données financières, ou d'autres informations confidentielles. Un attaquant pourrait également utiliser cette vulnérabilité pour exécuter des commandes arbitraires sur le serveur sous-jacent, compromettant ainsi l'ensemble du système. Bien que des détails spécifiques sur l'exploitation n'aient pas été publiés, la gravité CRITICAL du CVSS indique un risque élevé d'exploitation et d'impact significatif.
Ce CVE a été publié le 2026-02-27. Le fournisseur a rapidement corrigé la vulnérabilité après la publication du CVE, ce qui suggère une prise de conscience rapide du risque. Aucune preuve d'exploitation active n'est actuellement disponible, mais la gravité CRITICAL du CVSS indique qu'elle pourrait être ciblée à l'avenir. Il n'est pas listé sur le KEV de CISA à ce jour.
Organizations utilizing Windesk.Fm for any purpose, particularly those handling sensitive data such as financial information or user credentials, are at significant risk. Shared hosting environments where multiple users share the same Windesk.Fm instance are especially vulnerable, as a compromise of one user's account could potentially expose the entire system.
• php: Examine application logs for SQL errors or unusual query patterns. Use grep to search for suspicious SQL commands in log files.
grep -i 'SELECT .* FROM .* WHERE' /var/log/php_errors.log• generic web: Use curl to test for SQL Injection vulnerabilities on input fields.
curl 'http://windesk.fm/search?q=<script>alert("XSS")</script>'• database (mysql): If database access is possible, check for unusual database users or privileges.
SELECT User, Host FROM mysql.user;disclosure
patch
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Windesk.Fm vers la version v2.3.4 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être envisagées. Il est recommandé de renforcer la validation des entrées utilisateur pour empêcher l'injection de code SQL. L'utilisation d'une Web Application Firewall (WAF) peut également aider à bloquer les tentatives d'exploitation. Surveiller attentivement les journaux d'accès et d'erreurs pour détecter des activités suspectes est également crucial.
Mettez à jour vers la version 2.3.4 ou ultérieure pour atténuer la vulnérabilité d'injection SQL. La mise à jour corrige la manière dont les éléments spéciaux sont gérés dans les commandes SQL, empêchant l'exploitation de la vulnérabilité. Consultez la documentation du fournisseur pour obtenir des instructions détaillées sur la façon de mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-11252 is a critical SQL Injection vulnerability affecting Windesk.Fm versions 0 through 2.3.4, allowing attackers to execute arbitrary SQL commands and potentially access sensitive data.
If you are using Windesk.Fm versions 0 to 2.3.4, you are vulnerable to this SQL Injection flaw. Immediate action is required.
Upgrade Windesk.Fm to version 2.3.4 or later to resolve the vulnerability. Consider temporary workarounds like input validation if immediate upgrade is not possible.
While no public exploits are currently known, the CRITICAL severity suggests a high potential for exploitation if left unpatched.
Refer to the vendor's official security advisory for detailed information and updates regarding CVE-2025-11252.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.