PT-2021-22107 · Delta Electronics · Diaenergie
Michael Heinzl
·
Publicado
2021-08-30
·
Atualizado
2021-09-07
·
CVE-2021-38393
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Delta Electronics DIAEnergie versões 1.7.5 e anteriores
Descrição
Existe uma vulnerabilidade de injeção SQL cega no endpoint “/DataHandler/HandlerAlarmGroup.ashx”. O aplicativo não valida adequadamente o valor controlado pelo usuário fornecido através do parâmetro
agid antes de usá-lo como parte de uma consulta SQL. Um invasor remoto não autenticado pode explorar essa vulnerabilidade para executar código arbitrário no contexto de NT SERVICEMSSQLSERVER.Recomendações
Para as versões 1.7.5 e anteriores, considere desativar o acesso ao endpoint “/DataHandler/HandlerAlarmGroup.ashx” até que um patch esteja disponível. Restrinja a entrada do parâmetro
agid para impedir consultas SQL maliciosas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Diaenergie