Vulnerabilidad en el software 2ClickPortal | Cert Polska

Vulnerability Overview: CVE-2025-4568 in 2Clickportal

CVE Identifier: CVE-2025-4568
Publication Date: June 5, 2025
Vendor: Trol Intermedia
Product: 2Clickportal
Vulnerable Versions: All versions prior to 7.14.3
Vulnerability Type (CWE): Improper Neutralization of Special Elements Used in an SQL Command (‘SQL Injection’) (CWE-89)
Source of Report: Reported to CERT Polska

Description of the Vulnerability

CERT Polska has received notification regarding a vulnerability in Trol Intermedia’s 2Clickportal software, actively participating in the coordination efforts for its disclosure. The identified vulnerability, CVE-2025-4568, involves improper neutralization of input provided by unauthorized users. Specifically, the issue resides in the changes__Reference_id parameter within the URL, which opens the possibility for blind SQL injection attacks based on boolean logic.

SQL injection vulnerabilities, particularly those categorized as "blind," allow attackers to manipulate the SQL queries that are executed against a database by injecting malicious SQL code through input fields or parameters. In this case, the vulnerability could be exploited by crafting specific URLs that manipulate the changes__Reference_id parameter to extract sensitive information or possibly alter the underlying database structure.

The 2Clickportal software had several versions susceptible to this attack, making it a critical issue for any operations depending on versions prior to 7.14.3. Attackers exploiting this vulnerability could potentially access sensitive data, compromise data integrity, and perform unauthorized actions on the database.

Mitigation

The vulnerability has been addressed and resolved in version 7.14.3 of the 2Clickportal software. Users and organizations utilizing 2Clickportal are urged to update to this version to ensure their systems are safeguarded against potential SQL injection attacks stemming from CVE-2025-4568. Continuous vigilance in monitoring and updating software is crucial to prevent exploitation of known vulnerabilities.

Acknowledgments

Acknowledgments are extended to Kamil Szczurowski and Robert Kruczek for their responsible reporting of this issue, which facilitated its timely disclosure and remediation.

Further Information

For more detailed guidance regarding the vulnerability disclosure process and other related resources, you can visit CERT Polska’s official website at https://cert.pl/en/cvd/.

Maintaining up-to-date software versions and employing best practices for input validation and sanitation can greatly reduce risks associated with SQL injection vulnerabilities. Organizations are encouraged to conduct regular security audits and implement comprehensive security measures to mitigate the impact of such vulnerabilities in their systems.

Enlace de la fuente, haz clic para tener más información

Artículos y alertas de seguridad

Consultar más contenidos y alertas

Alertas y noticias de seguridad de la información

Jenkins Security Advisory (AV25-321) – Centro canadiense de seguridad cibernética

El 6 de junio de 2025, Jenkins emitió un aviso de seguridad para alertar sobre vulnerabilidades identificadas en el Gatling Plugin, específicamente en la versión

...
Más detalle de la noticia

Vulnerabilidades múltiples en el núcleo de Linux de Susa

Resumen de las Vulnerabilidades en el Núcleo de Linux de Susa Recientemente, se han identificado diversas vulnerabilidades en el núcleo de Linux de Susa, un

...
Más detalle de la noticia

La aplicación estonia pronto se puede usar para demostrar a la persona

El reciente lanzamiento de la aplicación Estonia ha introducido una importante innovación en la gestión de documentos e identidad en el país. Según el Ministro

...
Más detalle de la noticia

Revisión semanal del Centro Nacional de Seguridad Cibernética Finlandia (NCSC -FI) – 22/2025

Esta semana, nos centramos en la próxima temporada de vacaciones y cómo los estafadores continúan operando, incluso durante este tiempo. A menudo, estos delincuentes aprovechan

...
Más detalle de la noticia

EE. UU. Ofrece $ 10 millones para consejos sobre piratas informáticos estatales atados al malware Redline

El Departamento de Estado de los Estados Unidos ha lanzado una recompensa de hasta 10 millones de dólares por información que conduzca a identificar o

...
Más detalle de la noticia

May Cyberspace: crecimiento de incidentes, mayores discursos de fraude y tiendas de difamación

El informe mensual de la Autoridad de Infraestructura Cibernética de Estonia (RIA) destaca varios incidentes cibernéticos significativos que han impactado al país, así como las

...
Más detalle de la noticia

VMware Security Avisory (AV25-319) – Centro canadiense de seguridad cibernética

El 4 de junio de 2025, VMware emitió un aviso de seguridad para abordar varias vulnerabilidades detectadas en varios de sus productos. Este aviso es

...
Más detalle de la noticia

CyberData 011209 SIP EMERGENCIA DE EMERGENCIA

Resumen Ejecutivo En un informe de seguridad sobre el producto 011209 SIP de CyberData, se identifica una serie de vulnerabilidades críticas que afectan versiones anteriores

...
Más detalle de la noticia

Carta semanal de CERT-SE V.23-CERT-SE

Weekly Cybersecurity Update (June 5, 2025) Overview: This week’s cybersecurity landscape reveals a mix of notable events and developments. While the news cycle seems slightly

...
Más detalle de la noticia

CNCS – Aviso de detalle

CNCS es socio del concurso Media@tion 2025 La iniciativa Media@tion 2025, promovida por la Red de Bibliotecas de la Escuela (RBE) junto con el Misión

...
Más detalle de la noticia

UNC1151 Explotación de RoundCube para robar las credenciales de los usuarios en una campaña de Spearphishing

Resumen sobre las Campañas de Phishing y Vulnerabilidades en RoundCube Introducción CERT Polska ha reportado una reciente campaña de phishing que afecta a entidades polacas.

...
Más detalle de la noticia

Vulnerabilidades múltiples en productos VMware (05 de junio de 2025)

Se han identificado varias vulnerabilidades críticas en VMware NSX, un componente clave para la seguridad y gestión de redes en entornos virtualizados. Estas vulnerabilidades permiten

...
Más detalle de la noticia

El nuevo proyecto de cuatro años continúa fortaleciendo la ciberseguridad en la UE-seguimiento de las oportunidades de financiación

El Centro Nacional de Coordinación para la Investigación, Desarrollo e Innovación de la Seguridad Cibernética, que forma parte del Centro Nacional de Seguridad Cibernética de

...
Más detalle de la noticia

Formato de lista de cambio de confianza: se requiere una actualización para evitar mal funcionamiento de las firmas digitales

Resumen sobre la Transición a TLV6 en Sistemas de Información y Soluciones de Software La transición hacia la versión técnica 6 de la lista de

...
Más detalle de la noticia

Vulnerabilidad en el software 2ClickPortal | Cert Polska

Vulnerability Overview: CVE-2025-4568 in 2Clickportal CVE Identifier: CVE-2025-4568 Publication Date: June 5, 2025 Vendor: Trol Intermedia Product: 2Clickportal Vulnerable Versions: All versions prior to 7.14.3

...
Más detalle de la noticia
Contacta

Contacta con nosotros para obtener soluciones integrales en IT y seguridad de la información

Estamos encantados de responder cualquier pregunta que puedas tener, y ayudarte a determinar cuáles de nuestros servicios se adaptan mejor a tus necesidades.

Llámanos: Pulsa aquí
Nuestros beneficios:
  • Orientación a cliente
  • Independencia de proveedores
  • Competencias contrastadas y certificadas
  • Orientación a resultados (KPIs)
  • Resolución de problemas
  • Transparencia
¿Qué sucede a continuación?
1

Programamos una llamada según tu conveniencia.

2

Realizamos una reunión de descubrimiento y consultoría.

3

Preparamos una propuesta.

Agenda una consulta gratuita