Escanear grátis
HIGHCVE-2018-25209CVSS 8.2

OpenBiz Cubi Lite 3.0.8 Injeção SQL (SQL Injection) via Parâmetro username

Plataforma

php

Componente

openbiz-cubi-lite

Corrigido em

3.0.9

AI Confidence: highNVDEPSS 0.3%Revisado: mar. de 2026
Ver no NVD
Salvar

CVE-2018-25209 é uma vulnerabilidade de SQL Injection presente no OpenBiz Cubi Lite 3.0.8. Atacantes não autenticados podem manipular consultas ao banco de dados através do parâmetro 'username' no formulário de login. Isso permite extrair informações sensíveis ou burlar a autenticação. A vulnerabilidade afeta a versão 3.0.8–v3.0.8 do OpenBiz Cubi Lite. Não há patch oficial disponível.

Impacto e Cenários de Ataque

A vulnerabilidade CVE-2018-25209 no OpenBiz Cubi Lite 3.0.8 representa um risco significativo devido a uma injeção SQL no formulário de login. Um atacante não autenticado pode explorar esta falha enviando requisições POST para /bin/controller.php com código SQL malicioso no parâmetro 'username'. Isso permite a manipulação de consultas ao banco de dados, o que pode resultar na extração de informações sensíveis, como credenciais de usuário, dados de clientes ou informações de configuração. No pior dos cenários, um atacante pode até obter controle sobre o banco de dados e comprometer a integridade do sistema. A ausência de uma solução oficial (correção) agrava a situação, deixando os usuários vulneráveis até que medidas corretivas sejam implementadas.

Contexto de Exploração

A vulnerabilidade é explorada através da manipulação do parâmetro 'username' em uma requisição POST direcionada a /bin/controller.php. Um atacante pode injetar código SQL malicioso neste campo, que então é executado contra o banco de dados. A falta de validação adequada da entrada permite que o código SQL seja interpretado como parte da consulta, em vez de como uma string de texto. Esta vulnerabilidade é particularmente perigosa porque não requer autenticação, o que significa que qualquer pessoa com acesso à rede pode tentar explorá-la. A simplicidade da exploração a torna um alvo atraente para atacantes com diferentes níveis de habilidade.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

EPSS

0.27% (percentil 50%)

CISA SSVC

Exploraçãopoc
Automatizávelyes
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N8.2HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityHighRisco de exposição de dados sensíveisIntegrityLowRisco de modificação não autorizada de dadosAvailabilityNoneRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
Integrity
Baixo — o atacante pode modificar alguns dados com alcance limitado.
Availability
Nenhum — sem impacto na disponibilidade.

Software Afetado

Componenteopenbiz-cubi-lite
FornecedorSourceforge
Faixa afetadaCorrigido em
v3.0.8 – v3.0.83.0.9

Classificação de Fraqueza (CWE)

CWE-89

Linha do tempo

  1. Reservado
  2. Publicada
  3. EPSS atualizado
Sem correção — 59 dias desde a divulgação

Mitigação e Soluções Alternativas

Dado que não existe uma correção oficial fornecida pelo desenvolvedor do OpenBiz Cubi Lite, a mitigação de CVE-2018-25209 requer uma abordagem proativa. Recomenda-se fortemente atualizar para uma versão mais recente do software, se disponível. Se não for possível, medidas de segurança adicionais devem ser implementadas, como a validação e sanitização rigorosas de todas as entradas de usuário, especialmente no formulário de login. A implementação de um Firewall de Aplicações Web (WAF) pode ajudar a detectar e bloquear ataques de injeção SQL. Além disso, o acesso ao banco de dados deve ser restrito e a atividade suspeita deve ser monitorada. A auditoria regular do código-fonte em busca de vulnerabilidades também é crucial.

Como corrigirtraduzindo…

Actualizar OpenBiz Cubi Lite a una versión posterior a 3.0.8 o aplicar un parche que corrija la vulnerabilidad de inyección SQL en el parámetro username del formulario de inicio de sesión. Se recomienda validar y limpiar las entradas del usuario para prevenir la ejecución de código SQL malicioso.

Boletim de Segurança CVE

Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.

Perguntas frequentes

O que é CVE-2018-25209 — SQL Injection em OpenBiz Cubi Lite?

É um identificador único para uma vulnerabilidade de segurança específica no OpenBiz Cubi Lite.

Estou afetado pelo CVE-2018-25209 no OpenBiz Cubi Lite?

Se você estiver usando OpenBiz Cubi Lite versão 3.0.8, é provável que seja vulnerável.

Como corrijo o CVE-2018-25209 no OpenBiz Cubi Lite?

Atualmente, não há uma solução oficial fornecida pelo desenvolvedor.

O CVE-2018-25209 está sendo explorado ativamente?

É uma técnica de ataque que permite que atacantes manipulem consultas ao banco de dados.

Onde encontro o aviso oficial do OpenBiz Cubi Lite para o CVE-2018-25209?

Implemente medidas de segurança adicionais, como validação de entrada, WAF e monitoramento de atividade.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs