CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-52390

Critical
Published: Translated: NVD NIST

Summary

Saurus CMS Community Edition od commita d886e5b0 (2010-04-23) jest podatny na atak typu SQL Injection w metodzie `prepareSearchQuery()` w pliku `FulltextSearch.class.php`. Aplikacja bezpośrednio łączy dane wejściowe dostarczone przez użytkownika (`$search_word`) z zapytaniami SQL bez ich sanitizacji, co umożliwia atakującym manipulację logiką SQL.

Risk Assessment

Podatność ta może prowadzić do wycieku wrażliwych informacji lub eskalacji uprawnień, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się wprowadzenie odpowiednich mechanizmów sanitizacji danych wejściowych oraz stosowanie przygotowanych zapytań SQL, aby zminimalizować ryzyko ataków typu SQL Injection.

Original NVD description (English source)

Saurus CMS Community Edition since commit d886e5b0 (2010-04-23) is vulnerable to a SQL Injection vulnerability in the `prepareSearchQuery()` method in `FulltextSearch.class.php`. The application directly concatenates user-supplied input (`$search_word`) into SQL queries without sanitization, allowing attackers to manipulate the SQL logic and potentially extract sensitive information or escalate their privileges.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS