Jesse Meijer

Nome do Software Vulnerável e Versões Afetadas: Versões do SicommNet BASEC (Serviço SaaS) anteriores à versão corrigida, que não é especificada. Descrição: A questão refere-se a uma vulnerabilidade de Injeção de SQL na página de login do SicommNet BASEC, permitindo que um atacante remoto não autenticado contorne a autenticação e execute comandos SQL arbitrários. Esta vulnerabilidade está presente na solução pelo menos desde 14 de dezembro de 2021, e provavelmente antes disso. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Versões do SicommNet BASEC a partir de 14 de dezembro de 2021 Descrição: O problema está relacionado a credenciais protegidas de forma insuficiente, permitindo a recuperação de senhas. As senhas são armazenadas em texto simples utilizando criptografia reversível, o que permite que um atacante com privilégios suficientes extraia facilmente as senhas em texto simples. Recomendações: Para as versões a partir de 14 de dezembro de 2021, considere restringir o acesso aos recursos de recuperação de senha até que uma correção adequada seja implementada. Como solução temporária, limite os privilégios para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Versões do SicommNet BASEC a partir de 14 de dezembro de 2021 Descrição: O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Páginas Web, também conhecida como Cross-site Scripting (XSS). Isso permite XSS Refletido, XSS Através de Strings de Consulta HTTP, Renderização de HTML Arbitrário e alteração de Estilos CSS. Recomendações: Para versões a partir de 14 de dezembro de 2021, como uma solução temporária, considere restringir a entrada do usuário na geração de páginas web para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.