| CVE ID | CVE-2025-15498 |
| Data publikacji | 27 lutego 2026 |
| Producent podatnego oprogramowania | Pro3W |
| Nazwa podatnego oprogramowania | Pro3W CMS |
| Podatne wersje | Wszystkie do 1.2.0 włącznie |
| Typ podatności (CWE) | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Pro3W CMS i koordynował proces ujawniania informacji.
Podatność CVE-2025-15498: Pro3W CMS jest podatny na ataki typu SQL injection. Niewłaściwa neutralizacja danych wejściowych przekazywanych do formularza logowania umożliwia zdalnemu atakującemu obejście mechanizmu uwierzytelniania i uzyskanie uprawnień administracyjnych.
Problem został zidentyfikowany w wersji 1.2.0 tego oprogramowania. Ze względu na brak odpowiedzi ze strony producenta, nie udało się jednoznacznie określić zakresu podatnych wersji, jednak podatność powinna być wyeliminowana w wersjach wydanych w styczniu 2026 roku i późniejszych.
Podziękowania
Za zgłoszenie podatności dziękujemy Jackowi Czepilowi.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.