CVE-2018-25300

Descripción de la Vulnerabilidad

CVE-2018-25300 es un tipo de vulnerabilidad de seguridad relacionada con una inyección de SQL basada en unión en el CMS XATABoost 1.0.0. Esta vulnerabilidad permite a los atacantes no autenticados manipular consultas de base de datos mediante la inyección de código SQL a través del parámetro id. Los atacantes pueden enviar solicitudes GET a news.php con valores maliciosos del parámetro id para extraer información sensible de la base de datos.

Sistemas Afectados

La vulnerabilidad afecta directamente a la versión XATABoost CMS 1.0.0. Es crucial que los administradores de sistemas verifiquen si su instalación utiliza esta versión, ya que no se proporcionan detalles sobre versiones posteriores o alternativas seguras.

Impacto y Explotabilidad

La puntuación CVSS de 8.2 (ALTO) indica un impacto significativo. La vulnerabilidad permite a los atacantes no autenticados manipular consultas SQL, lo que puede llevar a la extracción de datos sensibles o incluso al acceso no autorizado a sistemas subyacentes. El ataque se realiza mediante solicitudes GET con parámetros maliciosos, lo que facilita su explotación por parte de usuarios no autorizados.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso públicos disponibles.

Mitigación y Parches

La mitigación más efectiva es actualizar inmediatamente a una versión posterior de XATABoost CMS que corrija esta vulnerabilidad. Sin embargo, no se proporcionan detalles sobre versiones actualizadas o parches específicos en el contexto dado. Los administradores deben revisar las actualizaciones oficiales del software para identificar soluciones seguras.