PT-2020-17299 · Flamingoim · Flamingo

Marckweio

Publicado

2020-12-26

Atualizado

2020-12-29

CVE-2020-35242

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Flamingo (também conhecido como FlamingoIM) até 29/09/2020

Descrição

O problema está relacionado a uma vulnerabilidade de injeção de SQL na função UserManager::updateUserTeamInfoInDbAndMemory.

Recomendações

Para o Flamingo (também conhecido como FlamingoIM) até 29/09/2020, considere restringir o acesso à função UserManager::updateUserTeamInfoInDbAndMemory até que uma correção esteja disponível.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2020-35242

Produtos afetados

Flamingo

PT-2020-17299 · Flamingoim · Flamingo

CVE-2020-35242

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 4