CVE-2025-62319

Boolean-Based SQL Injection in Multiple Unica Components

CVSS 9.8 CRITICALEPSS 0.3%CWE-89

Em resumo

Um invasor pode injetar código SQL malicioso nos campos de entrada da aplicação Unica usando condições Booleanas, manipulando consultas do banco de dados sem ver os resultados diretamente. Observando como a aplicação responde (verdadeiro ou falso), o atacante consegue extrair dados sensíveis ou comprometer o banco de dados.

Detalhe técnico

Vulnerabilidade de SQL injection baseada em Booleanos em componentes Unica permite que atacantes injetem SQL arbitrário através de campos de entrada da aplicação sem sanitização adequada nas consultas de backend. O invasor deduz resultados das consultas observando diferenças no comportamento da aplicação (respostas verdadeiras/falsas), possibilitando reconhecimento do banco de dados e acesso não autorizado ou modificação de dados.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Boolean-Based SQL Injection is a type of blind SQL injection where an attacker manipulates SQL queries by injecting Boolean conditions (TRUE or FALSE) into application input fields. Instead of returning database errors or visible data, the application responds differently depending on whether the injected condition evaluates to true or false. This allows an attacker to inject arbitrary SQL into backend configuration queries executed within the application.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

HCL · Unica

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0129410