CRITICAL🇬🇧 English

CVE-2025-62319

Boolean-Based SQL Injection umożliwiający wstrzyknięcie dowolnego SQL

CVSS 9.8v3.1pub. 2026-03-16upd. 2026-06-05

Podatność typu Boolean-Based SQL Injection (blind SQLi) pozwala nieuwierzytelnionemu atakującemu na manipulowanie zapytaniami SQL poprzez wstrzykiwanie warunków logicznych w pola wejściowe aplikacji. Ze względu na krytyczny poziom CVSS 9.8 i brak wymagań dotyczących uwierzytelnienia, stanowi poważne zagrożenie dla poufności, integralności i dostępności danych.

Pokaż oryginał (EN)

Boolean-Based SQL Injection is a type of blind SQL injection where an attacker manipulates SQL queries by injecting Boolean conditions (TRUE or FALSE) into application input fields. Instead of returning database errors or visible data, the application responds differently depending on whether the injected condition evaluates to true or false. This allows an attacker to inject arbitrary SQL into backend configuration queries executed within the application.

🤖 Analiza AI
Jak działa

Atakujący wstrzykuje warunki logiczne (TRUE lub FALSE) do pól wejściowych aplikacji, manipulując w ten sposób zapytaniami SQL wykonywanymi przez backend. Aplikacja nie zwraca bezpośrednich błędów ani danych z bazy, lecz reaguje różnymi odpowiedziami w zależności od tego, czy wstrzyknięty warunek jest prawdziwy czy fałszywy. Na podstawie różnic w odpowiedziach aplikacji atakujący jest w stanie odtworzyć zawartość bazy danych. Pozwala to na wstrzyknięcie dowolnego SQL do zapytań konfiguracyjnych wykonywanych wewnątrz aplikacji.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w bazie danych, a także naruszyć ich integralność lub dostępność. W zależności od uprawnień konta bazy danych możliwe jest odczytanie, modyfikacja lub usunięcie danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje dostępne w artykule bazy wiedzy HCL Software: KB0129410 (https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0129410)

Kogo dotyczy

Produkty HCL Software wskazane w referencjach producenta (artykuł KB0129410); konkretne wersje należy zidentyfikować na podstawie dokumentacji producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Hcltech Unica

    APP
    Hcltech
    < 25.1.1.0.1
  • Hcltech Unica Audience Central

    APP
    Hcltech
    < 25.1.1.0.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2024-42210HIGH7.6ten sam produkt

A Stored cross-site scripting (XSS) vulnerability affects HCL Unica Marketing Operations v12.1.8 and lower.  S...

CVE-2025-51735HIGH7.5ten sam produkt

CSV formula injection vulnerability in HCL Technologies Ltd. Unica 12.0.0.

CVE-2023-37498HIGH8.1ten sam produkt

A user is capable of assigning him/herself to arbitrary groups by reusing a POST request issued by an administ...

CVE-2023-37500HIGH8.1ten sam produkt

A Persistent Cross-site Scripting (XSS) vulnerability can be carried out on certain pages of Unica Platform.  ...

CVE-2023-37499HIGH8.1ten sam produkt

A Persistent Cross-site Scripting (XSS) vulnerability can be carried out in a certain field of the Unica Platf...