CRITICAL🇬🇧 English

CVE-2025-15625

SQL Injection w Sparx Pro Cloud Server — nieautoryzowany dostęp do bazy danych

CVSS 9.5v4.0pub. 2026-04-17upd. 2026-06-02

Nieuwierzytelniony użytkownik może w określonych okolicznościach wykonywać dowolne polecenia SQL na bazie danych Sparx Pro Cloud Server. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika po stronie serwera.

Pokaż oryginał (EN)

Unauthenticated user is able to execute arbitrary SQL commands in Sparx Pro Cloud Server database in certain cases.

🤖 Analiza AI
Jak działa

Podatność typu SQL injection (CWE-89) pozwala atakującemu na wstrzyknięcie złośliwych instrukcji SQL do zapytań kierowanych do bazy danych aplikacji. Brak odpowiedniej walidacji lub parametryzacji danych wejściowych umożliwia wykonanie arbitralnych poleceń SQL bez konieczności uwierzytelnienia. Dodatkowo podatność CWE-200 wskazuje na możliwość nieautoryzowanego ujawnienia wrażliwych informacji przechowywanych w bazie.

Skutki

Atakujący może odczytywać, modyfikować lub usuwać dane z bazy danych aplikacji, a w sprzyjających warunkach uzyskać szerszy dostęp do systemu. Możliwe jest również ujawnienie poufnych informacji przechowywanych w bazie danych Sparx Pro Cloud Server.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowa lista poprawionych wersji dostępna jest w historii zmian Sparx Pro Cloud Server pod adresem: https://sparxsystems.com/products/procloudserver/6.1/history.html

Kogo dotyczy

Sparx Pro Cloud Server — wersje wskazane w referencjach producenta (historia zmian dostępna pod adresem sparxsystems.com/products/procloudserver/6.1/history.html)

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:P/AU:Y/R:I/V:C/RE:M/U:Red
  • Sparxsystems Pro Cloud Server

    APP
    Sparxsystems
    6.0.163
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-42097CRITICAL9.3PL ✓ten sam produkt

Sparx Pro Cloud Server — SQL injection bez uwierzytelnienia przez pominięcie parametru

CVE-2025-15623CRITICAL9.3PL ✓ten sam produkt

Sparx Pro Cloud Server: ujawnienie hasła do bazy danych w plaintext

CVE-2025-15624CRITICAL9.3PL ✓ten sam produkt

Plaintext Storage haseł w Sparx Pro Cloud Server z OpenID

CVE-2026-42096HIGH8.7ten sam produkt

Sparx Pro Cloud Server is vulnerable to Broken Access Control within communication with the database. Due to l...

CVE-2026-42099HIGH7.7ten sam produkt

Sparx Pro Cloud Server is vulnerable to a Race Condition in the /data_api/dl_internal_artifact.php endpoint. T...