Hola Hoxter,
Soy el desarrollador de WebEngine. Me enviaron un link a tu publicación y me interesa indagar más en lo sucedido. Por default, todos los datos que son recibidos por el usuario son intensivamente filtrados por la web, esto, para prevenir que alguien trate de enviar información que “rompa” el código de la página web, haciendo posible una inyección u obteniendo acceso a áreas restringidas.
Por lo que puedo ver en las imágenes que subiste es que la información del archivo “webengine.json” está siendo visualizada desde “process.php” en el directorio base. WebEngine actualmente no cuenta con ningún archivo llamada “proccess.php”, lo cual sugiere que pueden ser las siguientes opciones:
(1) El hacker ha podido subir “process.php” a tu sistema de archivos teniendo acceso al panel de control de tu web hosting / vps.
(2) Hospedas otros sistemas web aparte de WebEngine en tu página y tienen alguna vulnerabilidad que permite al hacker subir el archivo “process.php”.
Por el momento es imposible subir un archivo a la web a través de WebEngine, asi que me inclino a que el problema sea que el hacker haya obtenido acceso a tu panel de control del web hosting o, si es que estas utilizando otros sistemas web -por ejemplo un webshop u otra web que no es WebEngine-, es posible que estos sean los cuales tienen dicha vulnerabilidad.
Recomendación:
Ingresa al GitHub oficial de WebEngine y compara los archivos de tu web con los originales. Esto te permitirá saber con que archivos adicionales –no oficiales- cuenta tu página.
https://github.com/lautaroangelico/WebEngineEl tema de la seguridad en WebEngine es lo principal, si existe dicha vulnerabilidad en el CMS como se reporta aquí, será parcheado inmediatamente. Habiendo dicho todo lo anterior y viendo la información de tu reporte, puedo asegurar que actualmente no existe vulnerabilidad de inyección SQL en el CMS.
P.D. No reviso este foro, si gustan ponerse en contacto conmigo pueden hacerlo por los medios oficiales de WebEngine.
Saludos,
Lautaro