PT-2021-4504 · Opensips · Opensis

Brian Lowe

Publicado

2021-09-01

Atualizado

2021-09-09

CVE-2021-40353

CVSS v2.0

Crítica

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

openSIS versão 8.0

Descrição

Existe uma vulnerabilidade de injeção de SQL devido à proteção inadequada da estrutura da consulta SQL. Isso permite que um invasor remoto execute comandos SQL arbitrários utilizando o parâmetro USERNAME no endpoint “index.php”. A vulnerabilidade pode estar relacionada a uma correção incompleta de um problema anterior.

Recomendações

Para o openSIS versão 8.0, considere restringir o acesso ao parâmetro USERNAME no endpoint “index.php” para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

BDU:2021-05141

CVE-2021-40353

Produtos afetados

Opensis

PT-2021-4504 · Opensips · Opensis

CVE-2021-40353

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7