CVE-2020-25132

Observium Professional, Enterprise e Community, versão 20.8.10631

Uma falha no Observium permite a injeção de SQL devido à possibilidade de injetar instruções SQL maliciosas por meio de tipos de parâmetros malformados. Especificamente, o envio de um tipo de variável Array inadequado contorna a sanitização central contra injeção de SQL, permitindo que usuários injetem instruções maliciosas em várias funções. Isso leva à contornamento total da autenticação, permitindo que qualquer usuário não autorizado com acesso ao aplicativo explore a falha. A vulnerabilidade pode ser explorada por meio do cabeçalho Cookie na URI padrão, dentro do arquivo includes/authenticate.inc.php.

Para o Observium Professional, Enterprise e Community versão 20.8.10631, considere desativar temporariamente a funcionalidade de autenticação até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao arquivo includes/authenticate.inc.php para minimizar o risco de exploração. Evite usar o cabeçalho Cookie com entradas maliciosas na URI padrão até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.