CRITICAL🇬🇧 English

CVE-2026-3325

SQL Injection w MegaCMS v12.0.0 — nieuwierzytelniony dostęp do bazy danych

CVSS 10.0v4.0pub. 2026-04-29upd. 2026-05-19

MegaCMS w wersji 12.0.0 zawiera krytyczną podatność SQL injection w parametrze "id_territorio" endpointu "/web_comunications/cms/get_provincias". Nieuwierzytelniony atakujący może wykonać dowolne zapytania SQL, co zagraża poufności, integralności i dostępności całego systemu.

Pokaż oryginał (EN)

SQL injection (SQLi) in MegaCMS v12.0.0, specifically in the “id_territorio” parameter of the “/web_comunications/cms/get_provincias” endpoint. The vulnerability arises from inadequate validation and sanitisation of user input. Specifically, via a POST request, the “id_territorio” parameter, used immediately after the registration form is submitted, could be manipulated by an unauthenticated attacker to execute arbitrary SQL queries.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych dostarczanych przez użytkownika. Poprzez żądanie POST do endpointu "/web_comunications/cms/get_provincias", atakujący może zmanipulować wartość parametru "id_territorio", który jest przetwarzany bezpośrednio po przesłaniu formularza rejestracyjnego. Parametr ten trafia do zapytania SQL bez odpowiedniego oczyszczenia, co umożliwia wstrzyknięcie złośliwego kodu SQL. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony innych użytkowników.

Skutki

Atakujący może wykonywać dowolne zapytania SQL na bazie danych systemu, co może prowadzić do nieuprawnionego odczytu, modyfikacji lub usunięcia danych, a w pewnych konfiguracjach również do przejęcia kontroli nad systemem bazodanowym. Podatność umożliwia ponadto obejście mechanizmów uwierzytelniania (Auth Bypass).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do podatnego endpointu "/web_comunications/cms/get_provincias" oraz wdrożenie reguł firewall / WAF blokujących próby SQL injection.

Kogo dotyczy

MegaCMS w wersji 12.0.0 (producent: CRM Sistemas de Fidelización)

Uwagi

Podatność została zgłoszona przez INCIBE-CERT (Hiszpańskie Narodowe Centrum Cyberbezpieczeństwa). Szczegółowe informacje dostępne w komunikacie INCIBE: https://www.incibe.es/en/incibe-cert/notices/aviso/sql-injection-megacms-crm-sistemas-de-fidelizacion

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLiAuth Bypass
CWE
Referencje