Plataforma
php
Componente
windesk.fm
Corrigido em
2.3.4
Uma vulnerabilidade de SQL Injection foi descoberta no Windesk.Fm, um software desenvolvido pela Signum Technology Promotion and Training Inc. Esta falha permite a injeção de comandos SQL maliciosos, potencialmente comprometendo a integridade e confidencialidade dos dados armazenados. A vulnerabilidade afeta as versões do Windesk.Fm anteriores à v2.3.4, e uma correção foi disponibilizada pelo fornecedor após a publicação do CVE.
A exploração bem-sucedida desta vulnerabilidade de SQL Injection pode permitir que um atacante obtenha acesso não autorizado a dados sensíveis armazenados no banco de dados do Windesk.Fm. Isso pode incluir informações de usuários, dados financeiros, e outros dados confidenciais. Além disso, um atacante pode ser capaz de modificar ou excluir dados, ou até mesmo executar comandos no sistema operacional subjacente, dependendo das permissões do usuário do banco de dados. A severidade crítica desta vulnerabilidade indica um alto risco de exploração e um potencial impacto significativo nos sistemas afetados. A ausência de validação adequada das entradas do usuário permite a manipulação das consultas SQL, abrindo caminho para ataques.
Este CVE foi publicado em 2026-02-27. A vulnerabilidade foi corrigida pelo fornecedor após a publicação do CVE, indicando que a correção foi priorizada. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A ausência de um KEV listing sugere uma probabilidade de exploração relativamente baixa, embora a severidade crítica da vulnerabilidade exija atenção imediata.
Organizations utilizing Windesk.Fm for any purpose, particularly those handling sensitive data such as financial information or user credentials, are at significant risk. Shared hosting environments where multiple users share the same Windesk.Fm instance are especially vulnerable, as a compromise of one user's account could potentially expose the entire system.
• php: Examine application logs for SQL errors or unusual query patterns. Use grep to search for suspicious SQL commands in log files.
grep -i 'SELECT .* FROM .* WHERE' /var/log/php_errors.log• generic web: Use curl to test for SQL Injection vulnerabilities on input fields.
curl 'http://windesk.fm/search?q=<script>alert("XSS")</script>'• database (mysql): If database access is possible, check for unusual database users or privileges.
SELECT User, Host FROM mysql.user;disclosure
patch
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão v2.3.4 ou superior do Windesk.Fm. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação rigorosa de todas as entradas do usuário, o uso de prepared statements ou stored procedures para evitar a injeção de SQL, e a restrição das permissões do usuário do banco de dados. Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de injeção de SQL. Implementar um Web Application Firewall (WAF) com regras específicas para detectar e bloquear ataques de SQL Injection também pode ser eficaz.
Atualize para a versão 2.3.4 ou posterior para mitigar a vulnerabilidade de injeção SQL. A atualização corrige a forma como os elementos especiais são tratados nos comandos SQL, prevenindo a exploração da vulnerabilidade. Consulte a documentação do fornecedor para obter instruções detalhadas sobre como atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-11252 is a critical SQL Injection vulnerability affecting Windesk.Fm versions 0 through 2.3.4, allowing attackers to execute arbitrary SQL commands and potentially access sensitive data.
If you are using Windesk.Fm versions 0 to 2.3.4, you are vulnerable to this SQL Injection flaw. Immediate action is required.
Upgrade Windesk.Fm to version 2.3.4 or later to resolve the vulnerability. Consider temporary workarounds like input validation if immediate upgrade is not possible.
While no public exploits are currently known, the CRITICAL severity suggests a high potential for exploitation if left unpatched.
Refer to the vendor's official security advisory for detailed information and updates regarding CVE-2025-11252.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.