CRITICAL🇬🇧 English

CVE-2012-10047

SQL Injection z RCE w Cyclope Employee Surveillance Solution 6.x

CVSS 10.0v4.0pub. 2025-08-08upd. 2026-05-26

Cyclope Employee Surveillance Solution w wersjach 6.x zawiera krytyczną podatność SQL injection w mechanizmie logowania, umożliwiającą zdalne wykonanie kodu. Brak walidacji parametru username pozwala nieuwierzytelnionemu atakującemu na przejęcie pełnej kontroli nad systemem z uprawnieniami SYSTEM.

Pokaż oryginał (EN)

Cyclope Employee Surveillance Solution versions 6.x are vulnerable to a SQL injection flaw in its login mechanism. The username parameter in the auth-login POST request is not properly sanitized, allowing attackers to inject arbitrary SQL statements. This can be leveraged to write and execute a malicious PHP file on disk, resulting in remote code execution under the SYSTEM user context.

🤖 Analiza AI
Jak działa

Parametr username w żądaniu POST do endpointu auth-login nie jest odpowiednio filtrowany, co umożliwia wstrzyknięcie dowolnych instrukcji SQL. Atakujący może wykorzystać tę podatność do zapisania na dysku serwera złośliwego pliku PHP, a następnie wywołać go zdalnie, uzyskując tym samym wykonanie dowolnego kodu (RCE). Całość przebiega bez konieczności posiadania jakichkolwiek poświadczeń i nie wymaga interakcji użytkownika. Kod zostaje uruchomiony w kontekście konta SYSTEM, co oznacza najwyższy poziom uprawnień w środowisku Windows.

Skutki

Atakujący uzyskuje zdalne wykonanie kodu (RCE) z uprawnieniami SYSTEM, co umożliwia całkowite przejęcie kontroli nad systemem operacyjnym, w tym kradzież danych, instalację złośliwego oprogramowania oraz lateral movement w sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jeśli aktualizacja nie jest możliwa, należy rozważyć ograniczenie dostępu sieciowego do interfejsu webowego aplikacji wyłącznie do zaufanych hostów oraz monitorowanie ruchu pod kątem prób SQL injection.

Kogo dotyczy

Cyclope Employee Surveillance Solution w wersjach 6.x

Uwagi

Dla podatności dostępne są publiczne moduły exploit w Metasploit Framework oraz wpisy w Exploit-DB (ID: 20393 i 20501), co znacząco obniża próg wejścia dla potencjalnych atakujących. Pomimo braku wpisu w CISA KEV, obecność gotowych exploitów uzasadnia pilne działania naprawcze.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCESQLi
CWE
Referencje