Platform
php
Component
qdpm
Opgelost in
9.1.1
CVE-2018-25208 beschrijft een SQL Injection kwetsbaarheid in qdPM 9.1. Deze kwetsbaarheid maakt het mogelijk voor onbevoegde gebruikers om database informatie te extraheren door SQL code te injecteren via de 'filter_by' parameters. Dit kan leiden tot ongeautoriseerde toegang en datalekken. De getroffen versies zijn 9.1 tot en met 9.1. Er is momenteel geen officiële patch beschikbaar.
CVE-2018-25208 heeft invloed op qdPM en stelt gebruikers bloot aan een aanzienlijk risico op SQL-injectie. Deze kwetsbaarheid stelt niet-geauthenticeerde aanvallers in staat om gevoelige database-informatie te extraheren. Het aanvalspad richt zich op de parameters filterby[CommentCreatedFrom] en filterby[CommentCreatedTo] binnen de timeReport endpoint. Een aanvaller kan kwaadaardige POST-verzoeken indienen met SQL-code die in deze parameters is geïnjecteerd, waardoor ze willekeurige SQL-query's kunnen uitvoeren en vertrouwelijk gegevens kunnen benaderen. Het ontbreken van authenticatie die vereist is om deze kwetsbaarheid te exploiteren, maakt deze bijzonder gevaarlijk, aangezien iedereen met netwerktoegang de database kan compromitteren. De CVSS-score van 8.2 duidt op een hoog risico, wat onmiddellijke aandacht vereist. Het ontbreken van een officiële fix (fix: none) verergert de situatie en laat gebruikers kwetsbaar totdat mitigerende maatregelen worden geïmplementeerd.
De CVE-2018-25208-kwetsbaarheid in qdPM wordt uitgebuit via POST-verzoeken die gericht zijn op de timeReport endpoint. Een aanvaller construeert een POST-verzoek met kwaadaardige gegevens in de parameters filterby[CommentCreatedFrom] en filterby[CommentCreatedTo]. Deze parameters maken, zonder de juiste validatie, SQL-code-injectie mogelijk. De aanvaller kan willekeurige SQL-commando's injecteren die op de onderliggende database worden uitgevoerd. Het ontbreken van authenticatie betekent dat elke gebruiker met netwerktoegang deze kwetsbaarheid kan proberen uit te buiten. Het succes van de exploitatie hangt af van de databaseconfiguratie en de databasegebruikersrechten die door qdPM worden gebruikt. Zodra de kwetsbaarheid is uitgebuit, kan de aanvaller vertrouwelijk informatie extraheren, gegevens wijzigen of zelfs de controle over de database overnemen.
Organizations deploying qdPM version 9.1 are at direct risk. Specifically, environments where the timeReport endpoint is exposed to the internet or accessible to untrusted users are particularly vulnerable. Shared hosting environments utilizing qdPM 9.1 should be considered high-risk due to the potential for cross-tenant exploitation.
• php / web:
grep -r "filter_by[CommentCreatedFrom]" /var/www/qdPM/timeReport.php• generic web:
curl -X POST -d "filter_by[CommentCreatedFrom]='; DROP TABLE users; --" http://your-qdpm-server/timeReport• generic web: Examine access logs for POST requests to /timeReport with unusual or malformed filter_by parameters.
• generic web: Check response headers for SQL errors or unexpected behavior after submitting crafted requests.
disclosure
Exploit Status
EPSS
0.09% (25% percentiel)
CISA SSVC
CVSS-vector
Aangezien er geen officiële fix is voor CVE-2018-25208 in qdPM, richt de mitigatie zich op aanvullende beveiligingsmaatregelen. Strenge validatie en sanering van alle gebruikersinvoer, met name de parameters filterby[CommentCreatedFrom] en filterby[CommentCreatedTo], is cruciaal. Het implementeren van een white-list van toegestane tekens en het weigeren van elke invoer die onverwachte tekens bevat, kan helpen SQL-injectie te voorkomen. Het wordt ten zeerste aanbevolen om geparametriseerde query's of opgeslagen procedures te gebruiken in plaats van SQL-query's dynamisch te construeren. Netwerksegmentatie en databaseprivilegebeperking kunnen ook helpen om de impact van een mogelijke exploitatie te verminderen. Actief monitoren van serverlogs op verdachte SQL-injectiepatronen is essentieel voor vroegtijdige detectie. Overweeg om te upgraden naar een nieuwere versie van qdPM, indien beschikbaar, of zoek naar alternatieve oplossingen die deze kwetsbaarheid aanpakken.
Update qdPM naar een versie hoger dan 9.1 die de SQL injectie (SQL Injection) kwetsbaarheid oplost. Als er geen versie beschikbaar is, wordt aanbevolen om een beveiligingspatch toe te passen die de invoer van de filter_by[CommentCreatedFrom] en filter_by[CommentCreatedTo] parameters in het timeReport endpoint correct filtert en escaped.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SQL-injectie is een type beveiligingslek dat aanvallers in staat stelt om te interfereren met de query's die naar een database worden verzonden.
qdPM is een software die de CVE-2018-25208-kwetsbaarheid bevat. Specifieke informatie over de functionaliteit is niet beschikbaar in de verstrekte context.
Deze kwetsbaarheid stelt aanvallers in staat om toegang te krijgen tot vertrouwelijk database-informatie, wat ernstige gevolgen kan hebben voor privacy en veiligheid.
Als u qdPM gebruikt, is de kans groot dat u kwetsbaar bent, tenzij u mitigerende maatregelen heeft geïmplementeerd.
U kunt meer informatie over CVE-2018-25208 vinden in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.