Katalog CVE

CVE-2025-52025

KrytyczneCVSS 9.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 25 - wyżej niż 25% wszystkich znanych CVE

Streszczenie

Podatność SQL Injection w punkcie końcowym GetServiceByRestaurantID platformy POS gemscms firmy Aptsys (do 2025-05-28) pozwala atakującemu na wstrzyknięcie i wykonanie dowolnego kodu SQL poprzez parametr id, co wynika z braku sanityzacji i parametryzacji zapytań.

Ocena ryzyka

Atakujący może uzyskać nieautoryzowany dostęp do danych lub je modyfikować, co prowadzi do naruszenia poufności i integralności bazy danych systemu POS.

Rekomendacja

Należy natychmiast zaktualizować platformę gemscms do najnowszej wersji oraz zastosować parametryzowane zapytania SQL lub mechanizmy ORM dla wszystkich endpointów.

Oryginalny opis (angielski, źródło NVD)

An SQL Injection vulnerability exists in the GetServiceByRestaurantID endpoint of the Aptsys gemscms POS Platform backend thru 2025-05-28. The vulnerability arises because user input is directly inserted into a dynamic SQL query syntax without proper sanitization or parameterization. This allows an attacker to inject and execute arbitrary SQL code by submitting crafted input in the id parameter, leading to unauthorized data access or modification.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS