PT-2021-22105 · Delta Electronics · Diaenergie

Publicado

2021-08-30

Atualizado

2021-09-07

CVE-2021-38391

CVSS v2.0

Crítica

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

Delta Electronics DIAEnergie versões 1.7.5 e anteriores

Descrição

Existe uma vulnerabilidade de injeção SQL cega devido à validação inadequada do parâmetro type no endpoint “/DataHandler/AM/AM Handler.ashx”. Isso permite que um invasor remoto e não autenticado execute código arbitrário no contexto de NT SERVICEMSSQLSERVER.

Recomendações

Para as versões 1.7.5 e anteriores, atualize para uma versão que valide adequadamente as entradas controladas pelo usuário para evitar ataques de injeção SQL.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2021-38391

Produtos afetados

Diaenergie

PT-2021-22105 · Delta Electronics · Diaenergie

CVE-2021-38391

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 3