Plataforma
php
Componente
edirectory
Corrigido em
1.0.1
A vulnerabilidade CVE-2019-25675 é uma falha de SQL Injection identificada no eDirectory, afetando as versões 1.0.0 a 1.0. Essa falha permite que atacantes não autenticados injetem código SQL, contornando a autenticação de administrador e potencialmente expondo arquivos sensíveis do sistema. A exploração bem-sucedida pode levar à divulgação de informações confidenciais e comprometimento da segurança do servidor. Atualmente, não há um patch oficial disponível para corrigir essa vulnerabilidade.
A CVE-2019-25675 afeta o eDirectory, expondo múltiplas vulnerabilidades de injeção SQL. Essas falhas permitem que atacantes não autenticados contornem a autenticação de administrador e, potencialmente, divulguem arquivos sensíveis do servidor. O ataque se concentra no parâmetro chave dentro do endpoint de login, onde código SQL pode ser injetado usando técnicas de 'injeção SQL baseada em UNION' para simular a autenticação como administrador. Uma vez autenticado, o atacante pode explorar vulnerabilidades de divulgação de arquivos autenticados em language_file.php para ler arquivos PHP arbitrários, comprometendo potencialmente a integridade e a confidencialidade da aplicação eDirectory. A vulnerabilidade é classificada com uma pontuação CVSS de 8.2, indicando um risco significativo.
A exploração da CVE-2019-25675 requer um atacante com experiência técnica em injeção SQL. O ataque começa com a injeção de código SQL no parâmetro de login, permitindo a autenticação como administrador sem credenciais válidas. Uma vez dentro, o atacante pode utilizar a função languagefile.php para ler arquivos PHP sensíveis, potencialmente revelando informações de configuração, senhas ou outros dados confidenciais. A falta de validação de entrada e codificação de saída no eDirectory facilita a exploração dessas vulnerabilidades. O sucesso do ataque depende da configuração do servidor e da presença de arquivos PHP acessíveis através de languagefile.php.
Organizations using eDirectory versions 1.0.0 through 1.0, particularly those with publicly accessible eDirectory instances, are at significant risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's eDirectory instance could potentially lead to the compromise of others.
• php: Examine access logs for suspicious SQL injection attempts targeting the login endpoint. Look for unusual characters or patterns in the 'key' parameter.
grep -i 'union select' /var/log/apache2/access.log• php: Review language_file.php for any unusual code or modifications that could facilitate file disclosure.
find /var/www/html/edirectory -name language_file.php -print• generic web: Monitor network traffic for connections to the eDirectory server from unusual IP addresses or locations. • generic web: Check for unexpected files or directories on the server that may have been created by an attacker.
disclosure
Status do Exploit
EPSS
0.19% (percentil 41%)
CISA SSVC
Vetor CVSS
Atualmente, não existe uma correção (fix) oficial fornecida pelo fornecedor para a CVE-2019-25675. A mitigação imediata requer uma revisão completa do código-fonte do eDirectory para identificar e corrigir as vulnerabilidades de injeção SQL e divulgação de arquivos. A implementação de um Firewall de Aplicações Web (WAF) para filtrar o tráfego malicioso e bloquear tentativas de injeção SQL é altamente recomendada. Além disso, aderir ao princípio do 'menor privilégio', limitando as permissões das contas de usuário e de serviço, é crucial para minimizar o impacto de uma possível violação. O monitoramento ativo dos logs do servidor em busca de padrões de ataque suspeitos também é essencial. Devido à falta de um patch, atualizar para uma versão mais segura do eDirectory, se disponível, é a melhor opção a longo prazo.
Actualice a la última versión disponible de eDirectory, ya que la vulnerabilidad de inyección SQL de autenticación bypass afecta a todas las versiones. Revise y fortalezca las medidas de seguridad, incluyendo la validación y sanitización de entradas de usuario en el endpoint de inicio de sesión y en el manejo de archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma técnica de injeção SQL que utiliza a cláusula UNION para combinar o resultado de uma consulta maliciosa com o resultado de uma consulta legítima, permitindo que o atacante extraia dados do banco de dados.
Um Firewall de Aplicações Web (WAF) é uma ferramenta de segurança que filtra o tráfego HTTP/HTTPS, bloqueando ataques comuns como injeção SQL e cross-site scripting (XSS).
Se você estiver usando o eDirectory, avalie imediatamente o código-fonte, implemente um WAF e monitore os logs do servidor. Considere atualizar para uma versão mais segura, se disponível.
Sim, a vulnerabilidade é explorável remotamente, o que significa que um atacante pode comprometer o sistema de qualquer lugar com acesso à Internet.
Existem scanners de vulnerabilidade que podem detectar injeções SQL. No entanto, a revisão manual do código-fonte continua sendo crucial.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.