PT-2021-19796 · Connectwise · Connectwise Automate
Publicado
2021-06-17
·
Atualizado
2021-06-22
·
CVE-2021-32582
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do ConnectWise Automate anteriores à 2021.5
Descrição
Existe uma vulnerabilidade de injeção SQL cega na comunicação de inventário do agente principal, permitindo que um invasor extraia informações do banco de dados ou credenciais administrativas de uma instância por meio de respostas de status de monitoramento manipuladas.
Recomendações
Para versões anteriores à 2021.5, atualize para a versão 2021.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à comunicação de inventário do agente principal para minimizar o risco de exploração.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Connectwise Automate