CRITICAL🇬🇧 English

CVE-2025-51683

Blind SQL Injection w mJobtime umożliwiający dostęp bez uwierzytelnienia

CVSS 9.8v3.1pub. 2025-12-01upd. 2026-07-05

W aplikacji mJobtime w wersji 15.7.2 wykryto podatność typu blind SQL Injection (SQLi), która pozwala nieuwierzytelnionemu atakującemu na wykonywanie dowolnych poleceń SQL. Podatność jest szczególnie niebezpieczna, ponieważ nie wymaga posiadania konta ani żadnych uprawnień w systemie.

Pokaż oryginał (EN)

A blind SQL Injection (SQLi) vulnerability in mJobtime v15.7.2 allows unauthenticated attackers to execute arbitrary SQL statements via a crafted POST request to the /Default.aspx/update_profile_Server endpoint .

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie HTTP POST do endpointu /Default.aspx/update_profile_Server, wstrzykując złośliwe fragmenty kodu SQL w parametrach żądania. Podatność ma charakter blind SQLi — aplikacja nie zwraca bezpośrednio wyników zapytań, jednak atakujący może wnioskować o zawartości bazy danych na podstawie zachowania aplikacji (np. czasu odpowiedzi lub różnic w odpowiedziach). Brak jakiegokolwiek mechanizmu uwierzytelniania przy dostępie do podatnego endpointu sprawia, że exploit jest dostępny dla każdego użytkownika sieci.

Skutki

Atakujący może odczytać, zmodyfikować lub usunąć dane zgromadzone w bazie danych aplikacji, w tym potencjalnie dane uwierzytelniające i informacje o pracownikach. W zależności od konfiguracji serwera bazodanowego możliwe jest również eskalowanie ataku do poziomu systemu operacyjnego.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako doraźne środki zaradcze zaleca się ograniczenie dostępu sieciowego do podatnego endpointu /Default.aspx/update_profile_Server poprzez reguły firewall lub WAF oraz monitorowanie logów pod kątem anomalnych żądań POST.

Kogo dotyczy

mJobtime w wersji 15.7.2

Uwagi

Podatność została opisana w poradniku bezpieczeństwa opublikowanym przez laboratorium InfoGuard, które ujawniło równocześnie powiązaną podatność CVE-2025-51682 dotyczącą tego samego oprogramowania.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mjobtime

    APP
    Mjobtime
    15.7.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLiAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-51682CRITICAL9.8PL ✓ten sam produkt

mJobtime: autoryzacja po stronie klienta umożliwia dostęp do funkcji administracyjnych

CVE-2025-51683 — Blind SQL Injection w mJobtime umożliwiający dostęp bez uwierzytelnienia — CRITICAL 9.8 | CVEbaza.pl