OpenAtlas – Unbeschränkte SQL-Konsole im Admin-UI

CVE-2025-51535 – Unbeschränkte SQL-Konsole im Admin-UI

Menü Admin -> SQL -> Execute akzeptiert beliebige SQL-Statements.

Metadaten

CVE-ID	CVE-2025-51535
Produkt	OpenAtlas
Hersteller	Austrian Academy of Sciences Österreichische Akademie der Wissenschaften
Betroffene Version	<= 8.11.0
Behobene Version	8.12.0
CVSS v3.1	9.1 Critical CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CWE	CWE-1392
Referenz	OpenAtlas Release Notes
NVD	National Vulnerability Database
EUVD	European Union Vulnerability Database
Gefunden am	19.Mai.2025
Gefunden von	Ferat Aydin

Schwachstellenbeschreibung

Für Administratoren besteht die möglichkeit SQL Befehle direkt über das UI auszuführen

Auswirkungen

• Vertraulichkeit: vollständiges Auslesen aller Tabellen.
• Integrität: UPDATE/DELETE/DROP ermöglicht Datenmanipulation oder -löschung.
• Verfügbarkeit: teure Queries oder DROP DATABASE legen die Anwendung lahm.

Hersteller-Statement

“The easiest solution was to remove it. It was only available for admins and we didn’t used it that much since the automation of the database upgrades anyway.”

Empfehlungen

• Update auf Version [8.12.0].

Proof of Concept / Beweisführung

Zeitleiste

2025	Ereignis	Anmerkung
19. Mai	Entdeckung der Schwachstelle	Schwachstelle im Rahmen eines On-Premise-Tests entdeckt
21. Mai	Erster Kontakt	Versuch der Kontaktaufnahme mit dem zuständigen Prozessverantwortlichen über openatlas@oeaw.ac.at
22. Mai	Einwilligung zur Berichtsübermittlung	Hersteller stimmt der unverschlüsselten Übermittlung des Berichts zu
26. Mai	Übermittlung des Berichts	Bericht an Hersteller gesendet
09. Juni	Review und Rückmeldung	Hersteller informiert die Researcher das dieSchwachstelle behoben wurde
10. Juni	Terminvereinbarung für Retest	Vereinbarung eines Retests der behobenen Schwachstellen in der Demo-Umgebung
12. Juni	Durchführung des Retests	Retest erfolgreich abgeschlossen, Bericht aktualisiert
12. Juni	Kontaktaufnahme mit Hersteller	Aktualisierter Bericht wurde dem Hersteller übermittelt