Plataforma
php
Componente
pocs
Corrigido em
1.0.1
Uma vulnerabilidade crítica foi descoberta na biblioteca elliptic, permitindo a extração de chaves privadas ECDSA ao assinar dados malformados, como strings ou números recebidos via rede. Essa falha pode levar ao comprometimento da segurança das assinaturas digitais, possibilitando a falsificação de transações e o acesso não autorizado a informações sensíveis. A vulnerabilidade afeta versões anteriores a 6.6.1 e uma correção foi disponibilizada.
Uma vulnerabilidade crítica foi identificada no sistema de avaliação de alunos Campcodes versão 1.0 (CVE-2025-0212). Esta falha de injeção SQL afeta o arquivo /view_students.php e permite que um atacante remoto manipule o argumento 'id' para executar código SQL malicioso. O impacto potencial é grave, incluindo a possível extração de dados sensíveis do banco de dados, modificação de registros de alunos ou até mesmo a tomada de controle do sistema. A divulgação pública do exploit agrava a situação, aumentando o risco de ataques.
A vulnerabilidade é explorada através da manipulação do parâmetro 'id' na URL do arquivo /view_students.php. Um atacante pode injetar código SQL malicioso neste parâmetro, que é então executado contra o banco de dados. A natureza remota da vulnerabilidade significa que um atacante não precisa de acesso físico ao servidor para explorá-la. A divulgação pública do exploit facilita a replicação do ataque por agentes maliciosos, aumentando a urgência de aplicar a correção.
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar imediatamente o sistema Campcodes Student Grading System para a versão 1.0.1. Esta versão inclui uma correção para a vulnerabilidade de injeção SQL. Enquanto isso, como medida temporária, restrinja o acesso ao arquivo /view_students.php e aplique uma validação estrita das entradas do usuário, especialmente o parâmetro 'id'. Implementar um firewall de aplicações web (WAF) também pode ajudar a mitigar o risco. Realizar auditorias de segurança periódicas é crucial para identificar e corrigir futuras vulnerabilidades.
Actualice el sistema a una versión parcheada o aplique las correcciones de seguridad proporcionadas por el proveedor. Valide y filtre las entradas del usuario, especialmente el parámetro 'id' en el archivo 'view_students.php', para prevenir ataques de inyección SQL. Implemente el principio de mínimo privilegio para las cuentas de base de datos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
SQL injection is an attack technique that allows an attacker to insert malicious SQL code into a database query, potentially leading to data extraction, modification, or deletion.
CVE-2025-0212 is a unique identifier for this specific vulnerability, facilitating its tracking and referencing.
If you cannot update immediately, implement mitigating measures such as input validation and restricting access to the vulnerable file.
Vulnerability scanning tools can detect this vulnerability. Consult with your security provider for recommendations.
Contact Campcodes support for more information and assistance.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.