Platform
other
Component
unica
Opgelost in
25.1.2
CVE-2025-62319 beschrijft een booleaanse SQL-injectie kwetsbaarheid in Unica. Deze kwetsbaarheid stelt aanvallers in staat om de SQL-query's te manipuleren en toegang te krijgen tot gevoelige data. De kwetsbaarheid treft versies van Unica tot en met 25.1.1. Een beveiligingsupdate is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze SQL-injectie kwetsbaarheid kan leiden tot ernstige gevolgen. Aanvallers kunnen ongeautoriseerde toegang krijgen tot de database, gevoelige data zoals gebruikersnamen, wachtwoorden, financiële informatie en andere vertrouwelijke gegevens stelen. Verder kan de aanvaller de database manipuleren, data wijzigen of verwijderen, en mogelijk de controle over de applicatie overnemen. De booleaanse aard van de injectie maakt het detecteren lastiger, omdat er geen directe foutmeldingen worden gegenereerd. Dit type exploitatie lijkt op eerdere SQL-injectie aanvallen, maar vereist een andere aanpak om de data te extraheren.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-16. Er is momenteel geen publieke proof-of-concept (POC) beschikbaar, maar de ernst van de kwetsbaarheid (CVSS 9.8) suggereert een potentieel voor actieve exploitatie. De KEV status is momenteel onbekend. Het is aan te raden om de kwetsbaarheid serieus te nemen en onmiddellijk maatregelen te treffen om de risico's te beperken.
Organizations utilizing Unica for marketing automation and customer relationship management are at risk, particularly those running versions 25.1.1 or earlier. Shared hosting environments where multiple tenants share a database are also at increased risk, as a compromise of one tenant could potentially lead to the compromise of others.
disclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar een beveiligde versie van Unica die de kwetsbaarheid verhelpt. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de database en het implementeren van strenge inputvalidatie op alle gebruikersinvoer. WAF-regels kunnen worden geconfigureerd om verdachte SQL-injectie pogingen te detecteren en te blokkeren. Monitor de applicatie logs op ongebruikelijke SQL-query's die kunnen wijzen op een poging tot exploitatie.
Werk bij naar een versie later dan 25.1.1. Raadpleeg het HCL kennisbank artikel voor meer details en specifieke update instructies.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-62319 is a critical SQL Injection vulnerability affecting Unica versions 25.1.1 and below, allowing attackers to manipulate SQL queries and potentially access sensitive data.
If you are using Unica version 25.1.1 or earlier, you are potentially affected by this vulnerability. Check your version and apply the available patch as soon as possible.
The recommended fix is to upgrade to a patched version of Unica. Monitor the vendor's website for the availability of the patch.
While no active exploitation has been confirmed, the high CVSS score and the well-understood nature of SQL injection suggest a high probability of exploitation.
Refer to the official Unica security advisories on the vendor's website for the latest information and patch details.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.