LabRedesCefetRJ WeGIA bis 3.4.0 relatorio_geracao.php almox SQL Injection
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.9 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in LabRedesCefetRJ WeGIA bis 3.4.0 entdeckt. Sie wurde als kritisch eingestuft. Das betrifft eine unbekannte Funktionalität der Datei /controle/relatorio_geracao.php. Die Bearbeitung des Arguments almox verursacht SQL Injection. Die Verwundbarkeit wird als CVE-2025-53527 geführt. Der Angriff kann über das Netzwerk angegangen werden. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine kritische Schwachstelle in LabRedesCefetRJ WeGIA bis 3.4.0 entdeckt. Es betrifft eine unbekannte Funktion der Datei /controle/relatorio_geracao.php. Durch Manipulieren des Arguments almox mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-89 vorgenommen. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
WeGIA is a web manager for charitable institutions. A Time-Based Blind SQL Injection vulnerability was discovered in the almox parameter of the /controle/relatorio_geracao.php endpoint. This issue allows attacker to inject arbitrary SQL queries, potentially leading to unauthorized data access or further exploitation depending on database configuration. This vulnerability is fixed in 3.4.1.Das Advisory kann von github.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 02.07.2025 unter CVE-2025-53527 geführt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1505.
Mittels inurl:controle/relatorio_geracao.php können durch Google Hacking potentiell verwundbare Systeme gefunden werden.
Ein Upgrade auf die Version 3.4.1 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 9de9a741d1d26ae76b2215a32660817d9bd452aa beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.
Once again VulDB remains the best source for vulnerability data.
Produkt
Hersteller
Name
Version
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 8.0VulDB Meta Temp Score: 7.9
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.8
NVD Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
Google Hack: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: WeGIA 3.4.1
Patch: 9de9a741d1d26ae76b2215a32660817d9bd452aa
Timeline
02.07.2025 CVE zugewiesen07.07.2025 Advisory veröffentlicht
07.07.2025 VulDB Eintrag erstellt
11.07.2025 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: GHSA-43xw-c4g6-jgff
Status: Bestätigt
CVE: CVE-2025-53527 (🔒)
GCVE (CVE): GCVE-0-2025-53527
GCVE (VulDB): GCVE-100-315180
Eintrag
Erstellt: 07.07.2025 20:16Aktualisierung: 11.07.2025 10:08
Anpassungen: 07.07.2025 20:16 (71), 11.07.2025 10:08 (12)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.