Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu OpenSolution QuickCMS i koordynował proces ujawniania informacji.
Podatność CVE-2025-12465: Nieprawidłowa neutralizacja danych wejściowych dostarczonych przez użytkownika o wysokich uprawnieniach w funkcji aFilesDelete umożliwia przeprowadzenie ataków typu Blind SQL Injection.
Producent został wcześniej poinformowany o tej podatności, jednak nie udzielił informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatność jedynie w wersji 6.8 - inne wersje nie były testowane i również mogą być podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Arkadiuszowi Marcie.
