PT-2020-15979 · Observium · Observium
Maciej Domański
·
Publicado
2020-09-25
·
Atualizado
2020-09-30
·
CVE-2020-25143
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Observium Professional, Enterprise e Community, versão 20.8.10631
Descrição
Foi descoberta uma falha que permite a injeção de SQL devido à possibilidade de injetar instruções SQL maliciosas em tipos de parâmetros malformados. Isso pode ocorrer por meio do endpoint “ajax/device entities.php”, especificamente quando o parâmetro
device id é manipulado, conforme visto no exemplo “/ajax/device entities.php?entity type=netscalervsvr&device id[]=”.Recomendações
Para o Observium Professional, Enterprise e Community versão 20.8.10631, como solução temporária, considere restringir o acesso ao endpoint “/ajax/device entities.php” para minimizar o risco de exploração. Evite usar o parâmetro
device id no endpoint afetado até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Observium