Wind

Nome do software vulnerável e versões afetadas: Netentsec NS-ASG Application Security Gateway versão 6.3 Descrição: Foi identificada uma falha crítica no processamento do arquivo /protocol/iscuser/deleteiscuser.php. A manipulação do argumento `messagecontent` leva a uma injeção de SQL. O ataque pode ser iniciado remotamente. A exploração já foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu. Recomendações: Para a versão 6.3, como solução temporária, considere restringir o acesso ao arquivo /protocol/iscuser/deleteiscuser.php até que um patch esteja disponível. Evite usar o argumento `messagecontent` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.