Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu 2ClickPortal firmy Trol InterMedia i koordynował proces ujawniania informacji.
Podatność CVE-2025-4568: Nieprawidłowa neutralizacja danych wejściowych dostarczonych przez nieautoryzowanego użytkownika w parametrze changes__reference_id w adresie URL umożliwia ataki typu Blind SQL Injection (boolean-based).
Podatność została usunięta w wersji 2ClickPortal 7.14.3.
Podziękowania
Za zgłoszenie podatności dziękujemy Kamilowi Szczurowskiemu i Robertowi Kruczkowi.