PT-2020-13851 · Ozeki · Ozeki Ng Sms Gateway
Publicado
2020-09-22
·
Atualizado
2020-09-26
·
CVE-2020-14027
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Ozeki NG SMS Gateway anteriores à 4.17.7
Descrição
Foi descoberta uma falha em que as cadeias de conexão do banco de dados no Ozeki NG SMS Gateway aceitam argumentos personalizados não seguros, como
ENABLE LOCAL INFILE, que podem ser usados por invasores para realizar ataques MySQL Load Data Local, permitindo potencialmente o uso de um servidor MySQL malicioso.Recomendações
Para versões do Ozeki NG SMS Gateway anteriores à 4.17.7, atualize para a versão 4.17.7 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso de argumentos personalizados nas cadeias de conexão de banco de dados para impedir a exploração.
Exploit
Correção
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ozeki Ng Sms Gateway