Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Emlog (CVE-2025-30372)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
28/03/2025
Última modificación:
28/03/2025

Descripción

Emlog es un sistema de creación de sitios web de código abierto. Las versiones pro-2.5.7 y pro-2.5.8 de Emlog Pro contienen una vulnerabilidad de inyección SQL. `search_controller.php` no utiliza barras de adición después de urldecode, lo que permite que la doble codificación de URL omita las barras de adición anteriores. Esto podría resultar en una posible filtración de información confidencial de la base de datos de usuarios. La versión pro-2.5.9 corrige el problema.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:P CVSS v4.0 Severidad y Métricas:

Puntuación base: 7.70 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): POC

Puntuación base 4.0
7.70
Gravedad 4.0
ALTA

Referencias a soluciones, herramientas e información