W aplikacji mJobtime w wersji 15.7.2 wykryto podatność typu blind SQL Injection (SQLi), która pozwala nieuwierzytelnionemu atakującemu na wykonywanie dowolnych poleceń SQL. Podatność jest szczególnie niebezpieczna, ponieważ nie wymaga posiadania konta ani żadnych uprawnień w systemie.
▸ Pokaż oryginał (EN)
A blind SQL Injection (SQLi) vulnerability in mJobtime v15.7.2 allows unauthenticated attackers to execute arbitrary SQL statements via a crafted POST request to the /Default.aspx/update_profile_Server endpoint .
Atakujący wysyła spreparowane żądanie HTTP POST do endpointu /Default.aspx/update_profile_Server, wstrzykując złośliwe fragmenty kodu SQL w parametrach żądania. Podatność ma charakter blind SQLi — aplikacja nie zwraca bezpośrednio wyników zapytań, jednak atakujący może wnioskować o zawartości bazy danych na podstawie zachowania aplikacji (np. czasu odpowiedzi lub różnic w odpowiedziach). Brak jakiegokolwiek mechanizmu uwierzytelniania przy dostępie do podatnego endpointu sprawia, że exploit jest dostępny dla każdego użytkownika sieci.
Atakujący może odczytać, zmodyfikować lub usunąć dane zgromadzone w bazie danych aplikacji, w tym potencjalnie dane uwierzytelniające i informacje o pracownikach. W zależności od konfiguracji serwera bazodanowego możliwe jest również eskalowanie ataku do poziomu systemu operacyjnego.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako doraźne środki zaradcze zaleca się ograniczenie dostępu sieciowego do podatnego endpointu /Default.aspx/update_profile_Server poprzez reguły firewall lub WAF oraz monitorowanie logów pod kątem anomalnych żądań POST.
mJobtime w wersji 15.7.2
Podatność została opisana w poradniku bezpieczeństwa opublikowanym przez laboratorium InfoGuard, które ujawniło równocześnie powiązaną podatność CVE-2025-51682 dotyczącą tego samego oprogramowania.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMjobtime
APPMjobtime15.7.2