CRITICAL🇬🇧 English

CVE-2025-4285

SQL Injection w Rolantis Information Technologies Agentis (przed wersją 4.32)

CVSS 10.0v3.1pub. 2025-07-22upd. 2026-06-05

W aplikacji Agentis firmy Rolantis Information Technologies wykryto krytyczną podatność typu SQL Injection (CWE-89), umożliwiającą nieautoryzowanym atakującym wykonywanie dowolnych zapytań SQL. Podatność otrzymała maksymalny wynik CVSS 10.0, co wskazuje na jej wyjątkową krytyczność.

Pokaż oryginał (EN)

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Rolantis Information Technologies Agentis allows SQL Injection. This issue affects Agentis: before 4.32.

🤖 Analiza AI
Jak działa

Podatność wynika z niewłaściwej neutralizacji znaków specjalnych w danych wejściowych przekazywanych do zapytań SQL (Improper Neutralization of Special Elements used in an SQL Command). Atakujący bez uwierzytelnienia, zdalnie przez sieć, może wstrzyknąć złośliwe polecenia SQL do zapytań wykonywanych przez aplikację. Wektor ataku wskazuje na brak wymagań co do uprawnień i interakcji użytkownika, a podatność ma zasięg wykraczający poza pierwotny komponent (Scope: Changed).

Skutki

Atakujący może uzyskać pełny dostęp do bazy danych — odczytać, zmodyfikować lub usunąć dane, a w zależności od konfiguracji serwera potencjalnie przejąć kontrolę nad systemem. Podatność umożliwia naruszenie poufności, integralności i dostępności danych w najwyższym stopniu.

Mitygacja

Należy niezwłocznie zaktualizować aplikację Agentis do wersji 4.32 lub nowszej. Szczegóły dostępne są w referencjach producenta oraz komunikatach USOM pod adresem https://www.usom.gov.tr/bildirim/tr-25-0168.

Kogo dotyczy

Aplikacja Agentis firmy Rolantis Information Technologies we wszystkich wersjach przed 4.32.

Uwagi

Podatność zgłoszona przez turecką instytucję ds. cyberbezpieczeństwa USOM (Ulusal Siber Olaylara Müdahale Merkezi) pod identyfikatorem TR-25-0168.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje
CVE-2025-4285 — SQL Injection w Rolantis Information Technologies Agentis (przed wersją 4.32) — CRITICAL 10.0 | CVEbaza.pl