PT-2020-18946 · Os4Ed · Os4Ed Opensis
Publicado
2020-09-01
·
Atualizado
2022-05-31
·
CVE-2020-6132
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
OS4Ed openSIS versão 7.3
Descrição
Existe uma vulnerabilidade de injeção de SQL nos parâmetros de identificação das páginas do OS4Ed openSIS, especificamente no parâmetro
id da página ChooseCP.php. Isso permite que um invasor faça uma solicitação HTTP autenticada para acionar a vulnerabilidade.Recomendações
Para o OS4Ed openSIS versão 7.3, considere restringir o acesso à página ChooseCP.php e ao parâmetro
id para minimizar o risco de exploração. Evite usar o parâmetro id na página afetada até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Os4Ed Opensis