PT-2020-19198 · Os4Ed · Opensis Community Edition

Cinzinga

·

Publicado

2020-08-24

·

Atualizado

2021-09-09

·

CVE-2020-6637

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
openSIS Community Edition versão 7.3
Descrição
A vulnerabilidade permite a injeção de SQL por meio do parâmetro USERNAME do endpoint “index.php”.
Recomendações
Para o openSIS Community Edition versão 7.3, evite usar o parâmetro USERNAME no endpoint index.php até que a vulnerabilidade seja resolvida.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2020-6637

Produtos afetados

Opensis Community Edition