PT-2020-14044 · Advantech · Iview

Rgod

·

Publicado

2020-07-15

·

Atualizado

2020-07-21

·

CVE-2020-14497

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Advantech iView versões 5.6 e anteriores
Descrição
O problema diz respeito a várias vulnerabilidades de injeção de SQL que permitem que um invasor utilize uma string controlada por ele na construção de consultas SQL. Isso poderia possibilitar a extração de credenciais de usuário, a leitura ou modificação de informações e a execução remota de código.
Recomendações
Para as versões 5.6 e anteriores do Advantech iView, considere desativar ou restringir o acesso à construção de consultas SQL até que uma correção esteja disponível. Restrinja o uso de strings controladas pelo invasor em consultas SQL para minimizar o risco de exploração. Evite usar funções ou parâmetros vulneráveis que permitam injeção de SQL até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2020-14497
ZDI-20-827
ZDI-20-828
ZDI-20-830
ZDI-20-832
ZDI-20-833
ZDI-20-835
ZDI-20-836
ZDI-20-837
ZDI-20-838
ZDI-20-839
ZDI-20-842
ZDI-20-843
ZDI-20-844
ZDI-20-845
ZDI-20-846
ZDI-20-848
ZDI-20-849
ZDI-20-850
ZDI-20-851
ZDI-20-852
ZDI-20-853
ZDI-20-854
ZDI-20-855
ZDI-20-856
ZDI-20-857
ZDI-20-858
ZDI-20-860
ZDI-20-861
ZDI-20-862
ZDI-20-863
ZDI-20-864
ZDI-20-865
ZDI-20-866
ZDI-20-868
ZDI-20-869

Produtos afetados

Iview