Co najmniej jedna wersja popularnego systemu zarządzania treścią (CMS) QuickCMS, wersja 6.8, jest podatna na atak typu Blind SQL Injection 1 2. Zgłoszenie o luce, której nadano identyfikator CVE (Common Vulnerabilities and Exposures) CVE-2025-12465, trafiło do CERT Polska 3. Pomimo powiadomienia, producent oprogramowania nie dostarczył informacji o poprawce ani pełnym zakresie zagrożonych wersji 4 5.

Sytuacja jest problematyczna dla polskich firm i instytucji, które mogły wdrożyć ten system ze względu na jego prostotę. Brak reakcji ze strony dostawcy oznacza, że administratorzy systemów muszą samodzielnie podjąć kroki w celu mitygacji ryzyka. Podatność została opublikowana 2 grudnia 2025 roku 6.

TL;DR

  • Produkt: OpenSolution QuickCMS.
  • Podatność: CVE-2025-12465, Blind SQL Injection 7 8.
  • Wektor: Zmanipulowane dane wejściowe w funkcji aFilesDelete przez uwierzytelnionego użytkownika z wysokimi uprawnieniami 9.
  • Zagrożenie: Możliwość nieautoryzowanego odczytu danych z bazy danych serwisu, w tym danych użytkowników, treści czy konfiguracji.
  • Dotyczy: Potwierdzono dla wersji 6.8 1 2. Inne wersje nie były testowane i również mogą być podatne 10 11.
  • Reakcja producenta: Brak. Dostawca został poinformowany, ale nie odpowiedział 4 5.
  • Pierwszy ruch: Identyfikacja posiadanych instancji QuickCMS i natychmiastowe ograniczenie dostępu do panelu administracyjnego do zaufanych adresów IP.

Wektor ataku

Zidentyfikowana podatność to klasyczny przypadek ataku typu SQL Injection, a konkretnie jego „ślepej” odmiany (Blind SQL Injection). W odróżnieniu od standardowego SQLi, atakujący nie otrzymuje bezpośrednich wyników swojego zapytania w odpowiedzi HTTP. Zamiast tego musi wnioskować o strukturze i zawartości bazy danych na podstawie subtelnych zmian w zachowaniu aplikacji – na przykład czasu odpowiedzi serwera lub różnic w zwracanej treści (prawda/fałsz).

Analiza techniczna wskazuje, że luka znajduje się w funkcji aFilesDelete 9. Problem leży w nieprawidłowej neutralizacji danych wejściowych, które są przekazywane do tej funkcji. Atakujący, który posiada już konto z wysokimi uprawnieniami w systemie, może spreparować specjalne żądanie, które zamiast usunąć plik, wykona dodatkowe zapytanie do bazy danych.

Konieczność posiadania uwierzytelnionego konta zmniejsza powierzchnię ataku, ale nie eliminuje zagrożenia. Operator może uzyskać dostęp do konta administracyjnego na wiele sposobów: poprzez phishing, odgadnięcie słabego hasła, wykorzystanie danych z innego wycieku lub poprzez eskalację uprawnień z innej, nieznanej jeszcze luki. Po uzyskaniu dostępu, podatność CVE-2025-12465 staje się narzędziem do eksfiltracji całej zawartości bazy danych.

Wskaźniki kompromitacji

Na ten moment nie opublikowano konkretnych wskaźników kompromitacji (IoC — Indicators of Compromise), takich jak adresy IP serwerów C2 (Command and Control) czy hashe złośliwego oprogramowania. Obrona musi skupić się na analizie logów i zachowania aplikacji.

Administratorzy powinni szukać w logach serwera WWW (np. Apache, Nginx) nietypowych lub zduplikowanych zapytań kierowanych do ścieżki odpowiedzialnej za wykonanie funkcji aFilesDelete. Szczególną uwagę należy zwrócić na żądania pochodzące z kont o wysokich uprawnieniach, które zawierają nietypowe znaki lub ciągi charakterystyczne dla zapytań SQL.

Przykładowe anomalie do monitorowania:

  • Wielokrotne, szybkie zapytania do tej samej funkcji z nieznacznie zmienionymi parametrami.
  • Użycie w parametrach zapytań funkcji bazodanowych służących do mierzenia czasu (np. sleep(), benchmark()).
  • Obecność w logach zapytań zawierających UNION, SELECT, CASE lub inne słowa kluczowe SQL w nietypowych miejscach.

Co zrobić w 24-48h

Brak oficjalnej łatki od producenta 4 wymusza podjęcie natychmiastowych działań zaradczych. Rekomendowane podejście nie zastępuje pełnego audytu bezpieczeństwa, ale może znacząco ograniczyć ryzyko.

  1. Identyfikacja zasobów. Należy pilnie zidentyfikować wszystkie instancje oprogramowania QuickCMS w infrastrukturze. Chociaż podatność potwierdzono tylko dla wersji 6.8 1, należy założyć, że starsze i nowsze wersje również mogą być zagrożone 10.

  2. Ograniczenie dostępu. Najważniejszym krokiem jest natychmiastowe ograniczenie dostępu do panelu administracyjnego CMS. Dostęp powinien być możliwy wyłącznie z predefiniowanej listy zaufanych adresów IP (tzw. whitelisting). Można to zrealizować na poziomie konfiguracji serwera WWW lub zapory sieciowej (firewall).

  3. Wzmocnienie uwierzytelniania. Należy wymusić zmianę haseł dla wszystkich kont z wysokimi uprawnieniami i zweryfikować, czy nie są one używane w innych systemach. Jeśli to możliwe, warto wdrożyć dodatkową warstwę uwierzytelniania na poziomie serwera WWW (np. HTTP Basic Auth) dla katalogu administracyjnego.

  4. Audyt i monitoring. Konieczne jest przejrzenie logów serwera WWW i bazy danych w poszukiwaniu śladów potencjalnej eksploatacji. Należy zwrócić uwagę na aktywność kont uprzywilejowanych w okresie poprzedzającym publikację alertu.

  5. Plan migracji. Sytuacja, w której dostawca oprogramowania nie reaguje na zgłoszenia o podatnościach 5, jest sygnałem alarmowym. Dla polskich firm z sektora MŚP, które często polegają na takich systemach, stanowi to poważne ryzyko ciągłości działania. Długoterminowo, najbezpieczniejszym rozwiązaniem jest zaplanowanie i przeprowadzenie migracji na aktywnie wspierany i regularnie aktualizowany system CMS.

Atrybucja

Podatność została w sposób odpowiedzialny zgłoszona do zespołu CERT Polska przez badacza bezpieczeństwa Arkadiusza Martę 12. CERT Polska podjął próbę koordynacji procesu ujawnienia luki z producentem oprogramowania 3.

Proces ten, znany jako Coordinated Vulnerability Disclosure (CVD), ma na celu zapewnienie, że producent ma czas na stworzenie i udostępnienie poprawki przed publicznym ujawnieniem szczegółów technicznych luki. W tym przypadku, z powodu braku odpowiedzi od dostawcy, podatność została opublikowana w celu ostrzeżenia użytkowników. Więcej o procesie zgłaszania podatności w Polsce można przeczytać na stronach CERT Polska 13.

Źródła

Zobacz też

Footnotes

  1. Podatność została przetestowana i potwierdzona w wersji 6.8 oprogramowania QuickCMS. — https://cert.pl/posts/2025/12/CVE-2025-12465/ 2 3

  2. Tylko wersja 6.8 została przetestowana i potwierdzona jako podatna. — https://nvd.nist.gov/vuln/detail/CVE-2025-12465 2

  3. CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu OpenSolution QuickCMS. — https://cert.pl/posts/2025/12/CVE-2025-12465/ 2

  4. Producent oprogramowania OpenSolution QuickCMS został poinformowany o podatności, ale nie udzielił szczegółów ani zakresu podatnych wersji. — https://cert.pl/posts/2025/12/CVE-2025-12465/ 2 3

  5. Dostawca został wcześnie powiadomiony o tej podatności, ale nie odpowiedział ze szczegółami podatności ani zakresem podatnych wersji. — https://nvd.nist.gov/vuln/detail/CVE-2025-12465 2 3

  6. Podatność CVE-2025-12465 została opublikowana 2 grudnia 2025 roku. — https://cert.pl/posts/2025/12/CVE-2025-12465/

  7. Podatność CVE-2025-12465 umożliwia przeprowadzenie ataków typu Blind SQL Injection. — https://cert.pl/posts/2025/12/CVE-2025-12465/

  8. W QuickCMS zidentyfikowano podatność typu Blind SQL injection. — https://nvd.nist.gov/vuln/detail/CVE-2025-12465

  9. Podatność CVE-2025-12465 to nieprawidłowa neutralizacja danych wejściowych dostarczonych przez użytkownika o wysokich uprawnieniach w funkcji aFilesDelete. — https://cert.pl/posts/2025/12/CVE-2025-12465/ 2

  10. Inne wersje QuickCMS nie były testowane, ale również mogą być podatne. — https://cert.pl/posts/2025/12/CVE-2025-12465/ 2

  11. Inne wersje QuickCMS nie były testowane i również mogą być podatne. — https://nvd.nist.gov/vuln/detail/CVE-2025-12465

  12. Za zgłoszenie podatności podziękowano Arkadiuszowi Marcie. — https://cert.pl/posts/2025/12/CVE-2025-12465/

  13. Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/. — https://cert.pl/posts/2025/12/CVE-2025-12465/