W aplikacji Gestnet v1.07 firmy AES Multimedia wykryto krytyczną podatność typu SQL injection, która umożliwia nieuwierzytelnionemu atakującemu zdalne wykonywanie dowolnych operacji na bazie danych. Ze względu na brak wymagań uwierzytelnienia i sieciową dostępność endpointu, zagrożenie jest oceniane jako krytyczne (CVSS 9.3).
▸ Pokaż oryginał (EN)
SQL injection vulnerability in AES Multimedia's Gestnet v1.07. This vulnerability allows an attacker to retrieve, create, update and delete databases via the ‘fk_remoto_central’ parameter on the ‘/webservices/articles.php’ endpoint.
Podatność występuje w parametrze 'fk_remoto_central' obsługiwanym przez endpoint '/webservices/articles.php'. Aplikacja nie filtruje ani nie parametryzuje danych wejściowych przekazywanych przez użytkownika, przez co atakujący może wstrzyknąć złośliwe zapytania SQL bezpośrednio do silnika bazy danych. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika, a jego przeprowadzenie jest możliwe zdalnie przez sieć.
Atakujący może odczytywać, tworzyć, modyfikować oraz usuwać dowolne dane przechowywane w bazie danych aplikacji. W praktyce oznacza to możliwość kradzieży poufnych informacji, manipulacji danymi lub całkowitego zniszczenia zawartości bazy danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowe środki tymczasowe mogą obejmować ograniczenie dostępu sieciowego do endpointu '/webservices/articles.php' wyłącznie do zaufanych adresów IP oraz wdrożenie reguł Web Application Firewall (WAF) blokujących typowe wzorce SQL injection.
AES Multimedia Gestnet w wersji 1.07
Podatność zgłoszona i opublikowana przez INCIBE-CERT (Hiszpańskie Narodowe Centrum Cyberbezpieczeństwa) w dniu 2025-05-26.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X