W systemie zarządzania szkołą openSIS (wersje 7.0–9.1) odkryto krytyczną podatność typu SQL injection w parametrze groupid pliku /messaging/Group.php. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne przejęcie kontroli nad bazą danych aplikacji.
▸ Pokaż oryginał (EN)
OS4ED openSIS v7.0 to v9.1 was discovered to contain a SQL injection vulnerability via the groupid parameter at /messaging/Group.php.
Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przesyłanych przez użytkownika w parametrze groupid do endpointu /messaging/Group.php. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio do zapytania kierowanego do bazy danych, manipulując jego logiką. Ze względu na wektor sieciowy (AV:N) i brak wymagań co do uwierzytelnienia (PR:N) oraz interakcji użytkownika (UI:N), exploit może być przeprowadzony zdalnie przez dowolną osobę mającą dostęp do aplikacji.
Atakujący może uzyskać nieautoryzowany odczyt, modyfikację lub usunięcie danych z bazy danych aplikacji, w tym danych osobowych uczniów i pracowników. W zależności od konfiguracji bazy danych możliwe jest również przejęcie kontroli nad serwerem bazodanowym.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się niezwłoczne śledzenie repozytorium producenta (https://github.com/OS4ED/openSIS-Classic) w celu uzyskania aktualizacji. Tymczasowo należy rozważyć ograniczenie dostępu do endpointu /messaging/Group.php na poziomie firewall lub serwera WWW.
OS4Ed openSIS w wersjach od 7.0 do 9.1 (włącznie).
Szczegóły techniczne dotyczące podatności zostały opublikowane w repozytorium badacza: https://github.com/esusalla/vulnerability-research/tree/main/CVE-2025-22930
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOs4ed Opensis
APPOs4Ed7.0 – 9.1
Powiązane podatności
SQL Injection w OpenSIS via parametry student_id i TRANSFER[SCHOOL]
SQL Injection w OS4ED openSIS — parametr cp_id w module wiadomości
Path traversal w openSIS umożliwia nieautoryzowany dostęp do plików
Path traversal w openSIS — nieautoryzowany dostęp do plików przez Modules.php
SQL Injection w Os4Ed openSIS — parametr filter_id