PT-2020-20563 · Soplanning · Soplanning
Falconspy
·
Publicado
2020-02-18
·
Atualizado
2020-02-20
·
CVE-2020-9269
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
SOPlanning versão 1.45
Descrição
A vulnerabilidade permite a injeção de SQL autenticada, o que pode levar à execução de comandos. Isso é possível por meio do parâmetro
users, conforme demonstrado no arquivo export ical.php.Recomendações
Para a versão 1.45 do SOPlanning, considere restringir o acesso ao arquivo export ical.php e evite usar o parâmetro
users até que uma correção esteja disponível. Como solução temporária, restrinja o uso do parâmetro users no endpoint da API afetado para minimizar o risco de exploração.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Soplanning