Escanear grátis
CRITICALCVE-2025-62319CVSS 9.8

Injeção SQL baseada em Booleano em Múltiplos Componentes Unica

Plataforma

other

Componente

unica

Corrigido em

25.1.2

AI Confidence: highNVDEPSS 0.0%Revisado: mai. de 2026
Ver no NVD
Salvar

A vulnerabilidade CVE-2025-62319 é uma injeção SQL de tipo Booleana identificada no Unica, afetando versões até 25.1.1. Essa falha permite que atacantes manipulem consultas SQL através da injeção de condições booleanas, sem a necessidade de erros visíveis no banco de dados. O impacto potencial é a exposição de dados sensíveis e a modificação da configuração do sistema, exigindo atenção imediata para evitar comprometimento.

Impacto e Cenários de Ataque

A injeção SQL de tipo Booleana em Unica permite que um atacante explore a lógica da aplicação para extrair informações do banco de dados, mesmo sem receber mensagens de erro explícitas. Ao injetar condições booleanas nas entradas da aplicação, o atacante pode determinar se uma determinada condição é verdadeira ou falsa, permitindo a inferência de dados sensíveis, como credenciais de usuários, informações financeiras ou dados de configuração. Além disso, essa vulnerabilidade pode ser explorada para modificar a configuração do sistema, permitindo a execução de comandos arbitrários ou a escalada de privilégios. A ausência de mensagens de erro torna a detecção mais difícil, aumentando o risco de exploração bem-sucedida.

Contexto de Exploração

A vulnerabilidade CVE-2025-62319 foi divulgada em 2026-03-16. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. A natureza da injeção SQL de tipo Booleana, combinada com a alta pontuação CVSS, indica um risco significativo, especialmente em ambientes de produção.

Quem Está em Riscotraduzindo…

Organizations utilizing Unica for marketing automation and customer relationship management are at risk, particularly those running versions 25.1.1 or earlier. Shared hosting environments where multiple tenants share a database are also at increased risk, as a compromise of one tenant could potentially lead to the compromise of others.

Linha do Tempo do Ataque

  1. Disclosure

    disclosure

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

EPSS

0.04% (percentil 12%)

CISA SSVC

Exploraçãonone
Automatizávelyes
Impacto Técnicototal

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityHighRisco de exposição de dados sensíveisIntegrityHighRisco de modificação não autorizada de dadosAvailabilityHighRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
Integrity
Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
Availability
Alto — falha completa ou esgotamento de recursos. Negação de serviço total.

Software Afetado

Componenteunica
FornecedorHCL
Faixa afetadaCorrigido em
Version 25.1.1 and below – Version 25.1.1 and below25.1.2

Classificação de Fraqueza (CWE)

CWE-89

Linha do tempo

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS atualizado
Sem correção — 69 dias desde a divulgação

Mitigação e Soluções Alternativas

A mitigação imediata para CVE-2025-62319 envolve a aplicação de firewalls de aplicação web (WAF) configurados para detectar e bloquear padrões de injeção SQL de tipo Booleana. Implemente regras de validação de entrada rigorosas para garantir que todos os dados fornecidos pelos usuários sejam devidamente sanitizados antes de serem utilizados em consultas SQL. Se a atualização imediata para a versão corrigida não for possível, considere a implementação de um WAF como medida temporária. Após a aplicação das correções, realize testes de penetração para verificar a eficácia das medidas implementadas e confirmar a ausência de vulnerabilidades remanescentes.

Como corrigir

Atualize para uma versão posterior a 25.1.1. Consulte o artigo da base de conhecimento da HCL para obter mais detalhes e instruções específicas de atualização.

Boletim de Segurança CVE

Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.

Perguntas frequentestraduzindo…

What is CVE-2025-62319 — SQL Injection in Unica?

CVE-2025-62319 is a critical SQL Injection vulnerability affecting Unica versions 25.1.1 and below, allowing attackers to manipulate SQL queries and potentially access sensitive data.

Am I affected by CVE-2025-62319 in Unica?

If you are using Unica version 25.1.1 or earlier, you are potentially affected by this vulnerability. Check your version and apply the available patch as soon as possible.

How do I fix CVE-2025-62319 in Unica?

The recommended fix is to upgrade to a patched version of Unica. Monitor the vendor's website for the availability of the patch.

Is CVE-2025-62319 being actively exploited?

While no active exploitation has been confirmed, the high CVSS score and the well-understood nature of SQL injection suggest a high probability of exploitation.

Where can I find the official Unica advisory for CVE-2025-62319?

Refer to the official Unica security advisories on the vendor's website for the latest information and patch details.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs