CVE-2020-25130

Observium Professional, Enterprise e Community, versão 20.8.10631

A vulnerabilidade permite a injeção de SQL devido à possibilidade de injetar instruções SQL maliciosas por meio de tipos de parâmetros malformados. Especificamente, o envio de um tipo de variável Array inadequado contorna a sanitização central contra injeção de SQL, permitindo que usuários autenticados injetem consultas SQL maliciosas. Isso pode levar a um vazamento total do banco de dados, incluindo chaves que podem ser usadas no processo de autenticação sem o conhecimento do nome de usuário e da senha em texto simples, por meio do endpoint “ajax/actions.php”, particularmente através do campo group id.

Para o Observium Professional, Enterprise e Community versão 20.8.10631, considere desativar o acesso ao endpoint “ajax/actions.php” até que um patch esteja disponível, ou restrinja o campo group id para impedir injeções SQL maliciosas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.