CVE-2025-24787
Homebrew Análise e mitigação de vulnerabilidades

Visão geral

WhoDB, an open source database management tool, was found to contain a critical security vulnerability (CVE-2025-24787) related to parameter injection in database connection strings. The vulnerability was discovered and disclosed on February 6, 2025, affecting all versions up to and including 0.45.0. This security flaw allows attackers to read local files on the machine where the application is running (GitHub Advisory).

Detalhes técnicos

The vulnerability stems from unsafe string concatenation when building database connection URIs, which are passed to libraries responsible for setting up database connections. The application fails to properly escape or encode user input, allowing injection of arbitrary parameters into the URI string. The vulnerability has received a CVSS v3.1 base score of 8.6 (High) with the vector string CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N, indicating network accessibility, low attack complexity, and no required privileges or user interaction (NVD, Security Online).

Impacto

The vulnerability enables attackers to read local files on the host machine running WhoDB. By injecting the parameter '&allowAllFiles=true' into the connection URI and connecting to any MySQL server (including an attacker-controlled one), the attacker can execute the 'LOAD DATA LOCAL INFILE' query to access any file on the host machine. The attack requires no user authentication to WhoDB, only authentication to any database server (GitHub Advisory).

Mitigação e soluções alternativas

The vulnerability has been addressed in version 0.45.0 of WhoDB. All users are strongly advised to upgrade to this version or later. There are no known workarounds for this vulnerability (GitHub Advisory).

Recursos adicionais


OrigemEste relatório foi gerado usando IA

Relacionado Homebrew Vulnerabilidades:

CVE ID

Gravidade

Pontuação

Tecnologias

Nome do componente

Exploração do CISA KEV

Tem correção

Data de publicação

CVE-2026-14241CRITICAL9.8
  • NixOS logoNixOS
  • cpe:2.3:a:mozilla:firefox
NãoNãoJun 30, 2026
CVE-2026-58016CRITICAL9.1
  • NixOS logoNixOS
  • glib2
NãoSimJun 30, 2026
CVE-2026-58014HIGH8.6
  • NixOS logoNixOS
  • glib2
NãoSimJun 30, 2026
CVE-2026-58015HIGH7.5
  • NixOS logoNixOS
  • glib2-fam
NãoSimJun 30, 2026
CVE-2025-53648MEDIUM5.4
  • Homebrew logoHomebrew
  • gravitino
NãoSimJun 30, 2026

Avaliação de vulnerabilidade gratuita

Compare sua postura de segurança na nuvem

Avalie suas práticas de segurança na nuvem em 9 domínios de segurança para comparar seu nível de risco e identificar lacunas em suas defesas.

Solicitar avaliação

Marque uma demonstração personalizada

Pronto para ver a Wiz em ação?

"A melhor experiência do usuário que eu já vi, fornece visibilidade total para cargas de trabalho na nuvem."
David EstlickCISO
"A Wiz fornece um único painel de vidro para ver o que está acontecendo em nossos ambientes de nuvem."
Adão FletcherDiretor de Segurança
"Sabemos que se a Wiz identifica algo como crítico, na verdade é."
Greg PoniatowskiChefe de Gerenciamento de Ameaças e Vulnerabilidades