CRITICAL🇬🇧 English

CVE-2025-51535

SQL Injection w OpenAtlas v8.11.0 (Austrian Archaeological Institute)

CVSS 9.1v3.1pub. 2025-08-04upd. 2025-09-20

W aplikacji OpenAtlas w wersji 8.11.0, opracowanej przez Austrian Archaeological Institute, wykryto podatność typu SQL injection. Mimo wysokich wymaganych uprawnień (PR:H), podatność ma krytyczny wynik CVSS 9.1 ze względu na pełny zakres wpływu na poufność, integralność i dostępność danych, wykraczający poza zakres atakowanego komponentu (Scope: Changed).

Pokaż oryginał (EN)

Austrian Archaeological Institute (AI) OpenAtlas v8.11.0 as discovered to contain a SQL injection vulnerability.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-1392 (Use of Default Credentials) w połączeniu z tagiem SQLi sugeruje, że atakujący z uprawnieniami administracyjnymi może wstrzykiwać nieoczyszczone zapytania SQL poprzez interfejs administracyjny aplikacji. Według referencji producenta problem dotyczy nieograniczonej konsoli SQL dostępnej w panelu administracyjnym (Admin UI). Brak odpowiedniej walidacji danych wejściowych umożliwia wykonanie dowolnych zapytań bezpośrednio na bazie danych.

Skutki

Atakujący może uzyskać pełny dostęp do bazy danych aplikacji, odczytywać, modyfikować lub usuwać przechowywane dane archeologiczne i konfiguracyjne, a także potencjalnie wykonywać operacje na poziomie systemu bazodanowego, co prowadzi do naruszenia poufności, integralności i dostępności całego systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do panelu administracyjnego wyłącznie do zaufanych sieci oraz wdrożenie silnej kontroli dostępu do konsoli SQL w Admin UI.

Kogo dotyczy

OpenAtlas w wersji 8.11.0 opracowanej przez Austrian Archaeological Institute

Uwagi

Zgodnie z referencjami zewnętrznymi (sec4you-pentest.com) podatność dotyczy nieograniczonej konsoli SQL dostępnej w interfejsie administracyjnym OpenAtlas. Pomimo wymaganego wysokiego poziomu uprawnień (PR:H), wektor Scope:Changed podwyższa ocenę CVSS do 9.1 (CRITICAL).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Craws Openatlas

    APP
    Craws
    < 8.12.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-51536CRITICAL9.8PL ✓ten sam produkt

Hardcoded hasło administratora w OpenAtlas v8.11.0

CVE-2025-60915HIGH8.1ten sam produkt

An issue in the size query parameter (/views/file.py) of Austrian Archaeological Institute Openatlas before v8...

CVE-2025-51534HIGH8.1ten sam produkt

A cross-site scripting (XSS) vulnerability in Austrian Archaeological Institute (AI) OpenAtlas v8.11.0 allows ...

CVE-2025-60914MEDIUM4.6ten sam produkt

Incorrect access control in Austrian Archaeological Institute Openatlas before v8.12.0 allows attackers to acc...

CVE-2025-56423MEDIUM5.3ten sam produkt

An issue in Austrian Academy of Sciences (AW) Austrian Archaeological Institute OpenAtlas v.8.12.0 allows a re...