PT-2021-23392 · Yonyou · Yonyou Turbocrm
Publicado
2021-10-29
·
Atualizado
2021-12-06
·
CVE-2021-41746
CVSS v2.0
5.0
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Todas as versões do Yonyou TurboCRM
Descrição
Existe uma vulnerabilidade de injeção de SQL no parâmetro
orgcode do arquivo changepswd.php, permitindo que invasores obtenham informações confidenciais do banco de dados.Recomendações
Para todas as versões, como solução temporária, considere restringir o acesso ao arquivo
changepswd.php até que um patch esteja disponível. Evite usar o parâmetro orgcode no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Yonyou Turbocrm