JCV

CVC-2504-331 – Joshua

Joshua CybeRisk Vision – SQL Injection

Title Joshua CybeRisk Vision – SQL Injection
Discovery date 18/02/2025
Class SQL Injection

Disclosure timeline

28/02/2025 First report of vulnerability shared with CybeRisk Vision team
28/02/2025 Fix released in production by CybeRisk Vision team
30/04/2025 CVC-2504-331 publicly released

Vulnerability details

Inserendo in un parametro filtro dell’applicativo un carattere interpretato come chiusura di una stringa nel linguaggio SQL, è stato riscontrato un errore nell’esecuzione della ricerca:

Figura 1 – Errore riscontrato dopo l’inserimento dell’apice all’interno di un parametro

il problema si risolve inserendo un doppio apice, evitando così di corrompere la stringa SQL e prevenendo l’errore nell’applicativo:

Figura 2 – Errore scomparso all’inserimento del doppio apice nel parametro

Una volta individuata la vulnerabilità, è stato possibile accedere al database e rilevare la versione esatta in uso:

Figura 3 – Versione del database in uso

Inoltre, è stato possibile enumerare i nomi dei database presenti sul server.

Questo elemento è stato inserito in JCV. Aggiungilo ai segnalibri.