PT-2020-14346 · Sit! · Support Incident Tracker
Code16
·
Publicado
2020-06-26
·
Atualizado
2020-07-06
·
CVE-2020-15308
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Support Incident Tracker (também conhecido como SiT! ou SiTracker) versão 3.67 p2
Descrição
A vulnerabilidade permite injeção de SQL pós-autenticação por meio de vários parâmetros, incluindo
typeid ou site em “site edit.php”, search title em “search incidents advanced.php” ou criteriafield em “report qbe.php”.Recomendações
Para a versão 3.67 p2, considere desativar o acesso aos parâmetros vulneráveis
typeid, site, search title e criteriafield nos respectivos arquivos PHP até que um patch esteja disponível. Restrinja o acesso aos endpoints “site edit.php”, “search incidents advanced.php” e “report qbe.php” para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Support Incident Tracker