CRITICAL🇬🇧 English

CVE-2025-63694

SQL Injection w DzzOffice – krytyczna podatność w module zarządzania grupami

CVSS 9.8v3.1pub. 2025-11-18upd. 2025-11-20

DzzOffice w wersji 2.3.7 i wcześniejszych zawiera krytyczną podatność SQL Injection w module explorer/groupmanage. Atakujący zdalny, nieuwierzytelniony użytkownik może wykonywać dowolne zapytania SQL na bazie danych aplikacji.

Pokaż oryginał (EN)

DzzOffice v2.3.7 and before is vulnerable to SQL Injection in explorer/groupmanage.

🤖 Analiza AI
Jak działa

Podatność polega na braku odpowiedniego walidowania i sanityzacji danych wejściowych przekazywanych do zapytań SQL w module zarządzania grupami (explorer/groupmanage). Atakujący może wstrzyknąć złośliwy kod SQL do parametrów żądania, co skutkuje wykonaniem przez aplikację niezamierzonych operacji na bazie danych. Ze względu na wektor sieciowy (AV:N) i brak wymagań co do uwierzytelnienia (PR:N) oraz interakcji użytkownika (UI:N), atak może być przeprowadzony zdalnie przez dowolną osobę.

Skutki

Atakujący może uzyskać pełny dostęp do danych przechowywanych w bazie danych, zmodyfikować lub usunąć dowolne dane, a w sprzyjających konfiguracjach także doprowadzić do naruszenia dostępności systemu. CVSS wskazuje na pełne naruszenie poufności, integralności i dostępności.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako obejście tymczasowe zaleca się ograniczenie dostępu sieciowego do instancji DzzOffice wyłącznie do zaufanych adresów IP oraz monitorowanie zapytań do bazy danych pod kątem anomalii.

Kogo dotyczy

DzzOffice w wersji 2.3.7 oraz wszystkich wcześniejszych wersjach.

Uwagi

Dostępny jest publiczny proof-of-concept na platformie GitHub (https://github.com/Yohane-Mashiro/dzzoffice_sql) oraz zgłoszenie problemu w oficjalnym repozytorium projektu (issue #364).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dzzoffice

    APP
    Dzzoffice
    ≤ 2.3.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-63695CRITICAL9.8PL ✓ten sam produkt

Dowolne przesyłanie plików w DzzOffice — krytyczna podatność RCE

CVE-2024-41376HIGH8.8ten sam produkt

dzzoffice 2.02.1 is vulnerable to Directory Traversal via user/space/about.php.

CVE-2022-43340HIGH8.8ten sam produkt

A Cross-Site Request Forgery (CSRF) in dzzoffice 2.02.1_SC_UTF8 allows attackers to arbitrarily create user ac...

CVE-2025-63693MEDIUM5.4ten sam produkt

The comment editing template (dzz/comment/template/edit_form.htm) in DzzOffice 2.3.x lacks adequate security e...

CVE-2024-29273MEDIUM6.1ten sam produkt

There is Stored Cross-Site Scripting (XSS) in dzzoffice 2.02.1 SC UTF8 in uploadfile to index.php, with the XS...