CRITICAL🇬🇧 English

CVE-2025-1872

SQL Injection w 101news — parametr sadminusername w panelu admina

CVSS 9.3v4.0pub. 2025-03-03upd. 2025-03-07

W aplikacji 101news w wersji 1.0 wykryto krytyczną podatność SQL injection (CWE-89) w parametrze 'sadminusername' w pliku admin/add-subadmins.php. Pozwala ona nieuwierzytelnionemu atakującemu na nieautoryzowany dostęp do bazy danych aplikacji.

Pokaż oryginał (EN)

SQL injection vulnerability have been found in 101news affecting version 1.0 through the "sadminusername" parameter in admin/add-subadmins.php.

🤖 Analiza AI
Jak działa

Podatność polega na braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych przez parametr 'sadminusername' w endpoincie admin/add-subadmins.php. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio do zapytania wykonywanego po stronie serwera bazy danych. Ze względu na brak wymagania uwierzytelnienia (PR:N, UI:N), exploit może być przeprowadzony zdalnie przez sieć bez żadnej interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać nieautoryzowany odczyt, modyfikację lub usunięcie danych w bazie danych aplikacji, w tym danych uwierzytelniających administratorów i subadministratorów. W zależności od konfiguracji serwera bazy danych możliwe jest również przejęcie pełnej kontroli nad danymi serwisu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również wdrożenie zapytań parametryzowanych (prepared statements) oraz ograniczenie dostępu do panelu administracyjnego wyłącznie do zaufanych adresów IP.

Kogo dotyczy

Aplikacja 101news (Mayurik Best Online News Portal) w wersji 1.0

Uwagi

Informacja o podatności pochodzi z biuletynu INCIBE-CERT (Hiszpańskie Narodowe Centrum Cyberbezpieczeństwa), który wskazuje na występowanie wielu podatności w produkcie 101news. Szczegóły dostępne pod adresem: https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-101news

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Mayurik Best Online News Portal

    APP
    Mayurik
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-1871CRITICAL9.3PL ✓ten sam produkt

SQL Injection w 101news – parametry category i subcategory

CVE-2025-1873CRITICAL9.3PL ✓ten sam produkt

SQL Injection w 101news przez parametry pagetitle i pagedescription

CVE-2025-1870CRITICAL9.3PL ✓ten sam produkt

SQL Injection w 101news (Mayurik Best Online News Portal) via parametr pagedescription

CVE-2025-1869CRITICAL9.3PL ✓ten sam produkt

SQL Injection w 101news — podatność w parametrze 'username'

CVE-2025-1874CRITICAL9.3PL ✓ten sam produkt

SQL Injection w 101news – parametr 'description' w panelu admina