PT-2021-22936 · Unknown · Opensis Classic
Minhgalaxy
·
Publicado
2021-10-12
·
Atualizado
2021-10-19
·
CVE-2021-40618
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
openSIS Classic versão 8.0
Descrição
Existe uma vulnerabilidade de injeção de SQL nos parâmetros
ADDR CONT USRN, ADDR CONT PSWD, SECN CONT USRN ou SECN CONT PSWD no arquivo HoldAddressFields.php. Isso permite a exploração potencial da vulnerabilidade de injeção de SQL.Recomendações
Para o openSIS Classic versão 8.0, considere restringir o acesso ao arquivo HoldAddressFields.php ou aos parâmetros vulneráveis
ADDR CONT USRN, ADDR CONT PSWD, SECN CONT USRN e SECN CONT PSWD para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opensis Classic