PT-2020-17047 · Openasset · Openasset Digital Asset Management
Jack Misiura
·
Publicado
2020-12-14
·
Atualizado
2020-12-15
·
CVE-2020-28860
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
OpenAsset Digital Asset Management (DAM) até a versão 12.0.19
Descrição
A vulnerabilidade permite a injeção de SQL cega por usuário autenticado, devido ao fato de o software não sanitizar corretamente as entradas fornecidas pelo usuário, que são então incorporadas às suas consultas SQL.
Recomendações
Para as versões do OpenAssetDigital Asset Management (DAM) até a 12.0.19, considere restringir o acesso a consultas sensíveis ao banco de dados até que um patch esteja disponível. Como solução temporária, limite as entradas do usuário para impedir a injeção de código SQL malicioso. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openasset Digital Asset Management