CVE-2025-53527: Vulnerabilidade de Injeção SQL nos parâmetros tipo e responsavel do endpoint relatorio_geracao.php
Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2025-53527
Resumo
Uma vulnerabilidade de Injeção SQL foi identificada nos parâmetros tipo e responsavel do endpoint /controle/relatorio_geracao.php. Esta vulnerabilidade permite que invasores manipulem consultas SQL e acessem informações confidenciais do banco de dados, como nomes de tabelas e dados sensíveis.
Detalhes
Endpoint Vulnerável: /controle/relatorio_geracao.php
Parâmetros: tipo e responsavel
PoC
Requisição Normal:
SQL Injection no parâmetro tipo
Payload:
| |
SQL Injection no parâmetro responsavel
Payload:
| |
Impacto
- Acesso não autorizado a dados sensíveis: Um invasor pode acessar informações confidenciais, como credenciais, dados pessoais ou financeiros.
- Comprometimento de contas de usuários: Usando credenciais roubadas, invasores podem obter acesso total ao aplicativo e executar ações em nome de usuários legítimos.
- Exfiltração de dados: Possibilidade de roubo de grandes volumes de informações, despejando tabelas inteiras do banco de dados.
- Danos à reputação: Expor dados de clientes ou informações comerciais pode prejudicar significativamente a Imagem da organização.
- Execução de ataques em cadeia: As informações obtidas podem ser usadas para realizar novos ataques, como phishing direcionado ou ataques a sistemas interconectados.
Referência
https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-43xw-c4g6-jgff
Encontrado por
Por: CVE-Hunters