CRITICAL🇬🇧 English

CVE-2025-46179

SQL Injection w CloudClassroom-PHP — plik askquery.php

CVSS 9.8v3.1pub. 2025-06-20upd. 2025-06-26

W projekcie CloudClassroom-PHP v1.0 wykryto podatność typu SQL Injection w pliku askquery.php. Nieoczyszczony parametr wejściowy trafia bezpośrednio do zapytań SQL, co umożliwia atakującemu zdalne manipulowanie bazą danych bez żadnego uwierzytelnienia.

Pokaż oryginał (EN)

A SQL Injection vulnerability was discovered in the askquery.php file of CloudClassroom-PHP Project v1.0. The squeryx parameter accepts unsanitized input, which is passed directly into backend SQL queries.

🤖 Analiza AI
Jak działa

Parametr 'squeryx' w pliku askquery.php nie jest poddawany żadnej walidacji ani sanityzacji przed przekazaniem do backendu bazy danych. Atakujący może wstrzyknąć dowolny kod SQL do tego parametru, modyfikując logikę wykonywanych zapytań. Ponieważ atak nie wymaga uwierzytelnienia, autoryzacji ani interakcji ze strony użytkownika, exploit może być przeprowadzony zdalnie przez sieć.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych, modyfikować lub usuwać zawartość bazy danych, a w sprzyjających konfiguracjach serwera — całkowicie przejąć kontrolę nad systemem.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się wdrożenie walidacji i parametryzacji zapytań SQL (prepared statements) dla parametru 'squeryx' w pliku askquery.php oraz ograniczenie dostępu do podatnego zasobu na poziomie firewalla lub serwera WWW.

Kogo dotyczy

CloudClassroom-PHP Project v1.0 (Vishalmathur)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Vishalmathur Cloudclassroom PHP Project

    APP
    Vishalmathur
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-26199CRITICAL9.8PL ✓ten sam produkt

Nieszyfrowana transmisja danych logowania w CloudClassroom-PHP-Project

CVE-2025-26198CRITICAL9.8PL ✓ten sam produkt

SQL Injection w CloudClassroom-PHP — ominięcie uwierzytelnienia admina

CVE-2025-45542HIGH7.3ten sam produkt

SQL injection vulnerability in the registrationform endpoint of CloudClassroom-PHP-Project v1.0. The pass para...

CVE-2024-57459HIGH7.3ten sam produkt

A time-based SQL injection vulnerability exists in mydetailsstudent.php in the CloudClassroom PHP Project 1.0....

CVE-2025-44608MEDIUM6.5ten sam produkt

CloudClassroom-PHP Project v1.0 was discovered to contain a SQL injection vulnerability via the viewid paramet...