PT-2020-9997 · Unknown · Blaauw Remote Kiln Control
Publicado
2020-05-07
·
Atualizado
2020-05-15
·
CVE-2019-18866
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Blaauw Remote Kiln Control, versões até v3.00r4
Descrição:
A vulnerabilidade permite a injeção de SQL sem autenticação por meio da variável
username no mecanismo de login, possibilitando que um usuário extraia dados arbitrários do banco de dados rkc.Recomendações:
Para versões até v3.00r4, como solução temporária, considere restringir o acesso ao mecanismo de login para minimizar o risco de exploração. Evite usar a variável
username no endpoint de login afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Blaauw Remote Kiln Control