PT-2020-18942 · Os4Ed · Opensis
Publicado
2020-09-01
·
Atualizado
2022-05-31
·
CVE-2020-6128
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
OS4Ed openSIS versão 7.3
Descrição
Existe uma vulnerabilidade de injeção de SQL na página CoursePeriodModal.php. Ela pode ser acionada por uma solicitação HTTP especialmente criada, permitindo que um invasor explore o parâmetro
meet date na página CoursePeriodModal.php para realizar uma injeção de SQL. Uma solicitação HTTP autenticada pode ser usada para acionar essa vulnerabilidade.Recomendações
Para o OS4Ed openSIS versão 7.3, considere restringir o acesso à página CoursePeriodModal.php até que uma correção esteja disponível e evite usar o parâmetro
meet date nessa página para minimizar o risco de exploração.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opensis