Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Pro3W CMS i koordynował proces ujawniania informacji.
Podatność CVE-2025-15498: Pro3W CMS jest podatny na ataki typu SQL injection. Niewłaściwa neutralizacja danych wejściowych przekazywanych do formularza logowania umożliwia zdalnemu atakującemu obejście mechanizmu uwierzytelniania i uzyskanie uprawnień administracyjnych.
Problem został zidentyfikowany w wersji 1.2.0 tego oprogramowania. Ze względu na brak odpowiedzi ze strony producenta, nie udało się jednoznacznie określić zakresu podatnych wersji, jednak podatność powinna być wyeliminowana w wersjach wydanych w styczniu 2026 roku i późniejszych.
Podziękowania
Za zgłoszenie podatności dziękujemy Jackowi Czepilowi.
