PT-2020-14756 · Gallagher · Gallagher Command Centre
Publicado
2020-12-14
·
Atualizado
2020-12-16
·
CVE-2020-16104
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Gallagher Command Centre anteriores à 8.30.1236(MR1)
Versões do Gallagher Command Centre anteriores à 8.20.1166(MR3)
Versões do Gallagher Command Centre anteriores à 8.10.1211(MR5)
Versões do Gallagher Command Centre anteriores à 8.00.1228(MR6)
Versão 7.90 do Gallagher Command Centre e versões anteriores
Descrição
Uma vulnerabilidade de injeção de SQL na Interface de Dados Empresariais (EDI) do Gallagher Command Centre permite que um invasor remoto com privilégio de “Editar Interfaces de Dados Empresariais” execute comandos SQL arbitrários contra um banco de dados de terceiros, caso a EDI esteja configurada para importar dados desse banco de dados.
Recomendações
Para versões anteriores à 8.30.1236(MR1), atualize para a versão 8.30.1236(MR1) ou posterior.
Para versões anteriores à 8.20.1166(MR3), atualize para a versão 8.20.1166(MR3) ou posterior.
Para versões anteriores à 8.10.1211(MR5), atualize para a versão 8.10.1211(MR5) ou posterior.
Para versões anteriores à 8.00.1228(MR6), atualize para a versão 8.00.1228(MR6) ou posterior.
Para a versão 7.90 e versões anteriores, atualize para uma versão posterior à 7.90.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gallagher Command Centre