CVE-2021-32932

Versões do Advantech iView anteriores à v5.7.03.6182

A vulnerabilidade permite que um invasor não autorizado divulgue informações devido a uma vulnerabilidade de injeção de SQL. Ela afeta várias funções, incluindo findUpdateDeviceListDetails, saveZtpConfig, deleteZtpConfig, getInventoryReportData, getAllActiveTraps, setDeviceAuthentication, getNextTrapPage e getPSInventoryInfo no NetworkServlet.

Para versões anteriores à v5.7.03.6182, atualize para a versão v5.7.03.6182 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso às funções vulneráveis até que um patch esteja disponível.

Evite usar os endpoints vulneráveis do NetworkServlet, como /NetworkServlet, até que o problema seja resolvido.

Restrinja o acesso ao banco de dados SQL para minimizar o risco de exploração.