CVE-2025-62319

Boolean-Based SQL Injection in Multiple Unica Components

CVSS 9.8 CRITICALEPSS 0.3%CWE-89

En resumen

Un atacante puede inyectar código SQL malicioso en los campos de entrada de la aplicación Unica usando condiciones Booleanas, manipulando consultas de base de datos sin ver los resultados directamente. Observando cómo responde la aplicación (verdadero o falso), el atacante puede extraer datos sensibles o comprometer la base de datos.

Detalle técnico

Vulnerabilidad de inyección SQL basada en Booleanos en componentes Unica permite a atacantes inyectar SQL arbitrario a través de campos de entrada de la aplicación sin suficiente sanitización en consultas backend. El atacante deduce resultados de consultas observando diferencias en el comportamiento de la aplicación (respuestas verdaderas/falsas), posibilitando reconocimiento de base de datos y acceso no autorizado o modificación de datos.

Resumen generado y traducido por IA a partir de la descripción oficial.

Boolean-Based SQL Injection is a type of blind SQL injection where an attacker manipulates SQL queries by injecting Boolean conditions (TRUE or FALSE) into application input fields. Instead of returning database errors or visible data, the application responds differently depending on whether the injected condition evaluates to true or false. This allows an attacker to inject arbitrary SQL into backend configuration queries executed within the application.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

HCL · Unica

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0129410