PT-2020-7643 · Unknown · Web2Project
Publicado
2020-01-31
·
Atualizado
2020-02-05
·
CVE-2014-3119
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
web2Project versões 3.1 e anteriores
Descrição
A vulnerabilidade permite que usuários remotos autenticados executem comandos SQL arbitrários. Isso pode ser feito por meio do parâmetro
search string no módulo de contatos para “index.php” ou por invasores remotos por meio do parâmetro updatekey para “do updatecontact.php” ou “updatecontact.php”.Recomendações
Para as versões 3.1 e anteriores do web2Project, atualize para uma versão posterior à 3.1 para resolver o problema.
Como solução temporária, considere restringir o acesso ao parâmetro
search string no módulo de contatos e ao parâmetro updatekey em “do updatecontact.php” e “updatecontact.php” para minimizar o risco de exploração.Exploit
Correção
RCE
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Web2Project