PT-2020-16825 · Eyesofnetwork · Eyesofnetwork Eonweb
H4Knet
·
Publicado
2020-10-29
·
Atualizado
2021-02-23
·
CVE-2020-27886
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
EyesOfNetwork eonweb versões 5.3-7 a 5.3-8
Descrição
O problema está relacionado a uma injeção de SQL na interface web do eonweb, permitindo que um invasor não autenticado explore a função
username available do arquivo includes/functions.php, que é chamada pelo login.php.Recomendações
Para as versões 5.3-7 a 5.3-8 do EyesOfNetwork eonweb, considere desativar a função
username available no arquivo includes/functions.php como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo login.php para minimizar o risco de exploração.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eyesofnetwork Eonweb