CRITICAL🇬🇧 English

CVE-2025-26852

SQL Injection w Descor Infocad — nieautoryzowany pełny dostęp do systemu

CVSS 10.0v3.1pub. 2025-03-20upd. 2025-04-23

Descor Infocad w wersji 3.5.1 i wcześniejszych zawiera krytyczną podatność SQL Injection umożliwiającą nieautoryzowanemu atakującemu zdalne wykonanie złośliwych zapytań do bazy danych. Maksymalny wynik CVSS 10.0 wskazuje na wyjątkowo wysokie ryzyko — exploit nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

DESCOR INFOCAD 3.5.1 and before and fixed in v.3.5.2.0 allows SQL Injection.

🤖 Analiza AI
Jak działa

Podatność polega na nieprawidłowej walidacji lub braku parametryzacji danych wejściowych przekazywanych do zapytań SQL (CWE-89). Atakujący może wstrzyknąć dowolny kod SQL poprzez sieć bez konieczności posiadania konta w systemie. Ze względu na zmieniony zakres (Scope: Changed w wektorze CVSS), eksploitacja może wpływać na zasoby wykraczające poza bezpośrednio atakowany komponent, np. inne bazy danych lub systemy współdzielące środowisko.

Skutki

Atakujący może uzyskać pełny dostęp do danych przechowywanych w bazie (poufność), modyfikować lub usuwać dane (integralność) oraz potencjalnie doprowadzić do niedostępności systemu lub wykonania poleceń na poziomie serwera bazy danych (dostępność).

Mitygacja

Należy niezwłocznie zaktualizować Descor Infocad do wersji 3.5.2.0, w której podatność została naprawiona. Szczegółowe informacje dostępne są w dzienniku zmian producenta pod adresem https://www.infocadfm.com/changelog/sql-injection/

Kogo dotyczy

Descor Infocad w wersji 3.5.1 i wszystkich wcześniejszych.

Uwagi

Podatność została naprawiona w wersji 3.5.2.0 zgodnie z informacją zawartą w opisie CVE oraz opublikowanym przez producenta changelogiem.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Descor Infocad

    APP
    Descor
    < 3.5.2.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-26853CRITICAL10.0PL ✓ten sam produkt

Descor Infocad — złamany schemat autoryzacji (CVSS 10.0)

CVE-2018-13789HIGH7.5ten sam vendor

An issue was discovered in Descor Infocad FM before 3.1.0.0. An unauthenticated web service allows the retriev...

CVE-2025-26852 — SQL Injection w Descor Infocad — nieautoryzowany pełny dostęp do systemu — CRITICAL 10.0 | CVEbaza.pl