Description
A vulnerability has been found in Engeman Web up to 12.0.0.2. The affected element is an unknown function of the file /Login/RecoveryPass of the component Password Recovery Page. The manipulation of the argument LanguageCombobox as part of Cookie leads to sql injection. The attack is possible to be carried out remotely. The exploit has been disclosed to the public and may be used. Upgrading to version 12.0.0.3 is sufficient to fix this issue. Upgrading the affected component is advised. The vendor was contacted early about this disclosure but did not respond in any way.
Eine Schwachstelle wurde in Engeman Web up to 12.0.0.2 gefunden. Es betrifft eine unbekannte Funktion der Datei /Login/RecoveryPass der Komponente Password Recovery Page. Durch Manipulieren des Arguments LanguageCombobox durch Cookie kann eine sql injection-Schwachstelle ausgenutzt werden. Der Angriff kann remote ausgeführt werden. Der Exploit ist öffentlich verfügbar und könnte genutzt werden. Ein Aktualisieren auf die Version 12.0.0.3 vermag dieses Problem zu lösen. Ein Upgrade der betroffenen Komponente wird empfohlen.
Problem types
Product status
12.0.0.1
12.0.0.2
12.0.0.3
Timeline
| 2025-07-26: | Advisory disclosed |
| 2025-07-26: | VulDB entry created |
| 2025-07-27: | Exploit disclosed |
| 2025-10-11: | VulDB entry last update |
Credits
m3m0o (VulDB User)
m3m0o (VulDB User)
References
docs.google.com/...1MKMUJg7z-qu1Wyo81y9isFlNyi0/edit?tab=t.0
vuldb.com/?id.317808 (VDB-317808 | Engeman Web Password Recovery RecoveryPass sql injection)
vuldb.com/?ctiid.317808 (VDB-317808 | CTI Indicators (IOB, IOC, TTP, IOA))
vuldb.com/?submit.616747 (Submit #616747 | Engeman Engeman Web <= 12.0.0.1 SQL Injection)
github.com/m3m0o/engeman-web-language-combobox-sqli