PT-2019-15790 · Napc Xinet · Napc Xinet Elegant 6 Asset Library

Hyp3Rlinx

Publicado

2019-12-02

Atualizado

2025-02-02

CVE-2019-19245

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Name of the Vulnerable Software and Affected Versions NAPC Xinet Elegant 6 Asset Library version 6.1.655

Description The issue allows for Pre-Authentication SQL Injection via the "/elegant6/login" API endpoint, specifically through the username field in the LoginForm when double quotes are used.

Recommendations For NAPC Xinet Elegant 6 Asset Library version 6.1.655, avoid using double quotes in the username field of the LoginForm at the "/elegant6/login" API endpoint until a fix is available. Consider temporarily restricting access to this endpoint to minimize the risk of exploitation.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2019-19245

Produtos afetados

Napc Xinet Elegant 6 Asset Library

PT-2019-15790 · Napc Xinet · Napc Xinet Elegant 6 Asset Library

CVE-2019-19245

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 6