PT-2021-21264 · Cerner · Cerner Mobile Care
Publicado
2021-08-24
·
Atualizado
2021-08-31
·
CVE-2021-36385
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Cerner Mobile Care versão 5.0.0
Descrição
Uma vulnerabilidade de injeção de SQL permite que invasores remotos não autenticados executem comandos SQL arbitrários por meio de um apóstrofo de largura total (também conhecido como U+FF07) no campo
User ID da página “default.aspx”. Isso pode levar à execução de comandos de sistema arbitrários através do uso de xp cmdshell.Recomendações
Para o Cerner Mobile Care versão 5.0.0, considere restringir o acesso à página
default.aspx ou desativar o uso do campo User ID até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o campo User ID com caracteres especiais, como o apóstrofo de largura total (U+FF07), para minimizar o risco de exploração.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cerner Mobile Care