CVE-2021-42258

BQE BillQuick Web Suite, versões de 2018 a 2021 anteriores à 22.0.9.1

A vulnerabilidade permite a injeção de SQL para a execução remota de código sem autenticação, tendo sido explorada em ambiente real em outubro de 2021 para a instalação de ransomware. A injeção de SQL pode utilizar o parâmetro txtID (também conhecido como username). A exploração bem-sucedida pode incluir a capacidade de executar código arbitrário como MSSQLSERVER$ por meio de xp cmdshell(). A vulnerabilidade está relacionada a erros na neutralização de elementos especiais em consultas SQL. Estima-se que 400.000 usuários em todo o mundo possam ser afetados, uma vez que os produtos são amplamente utilizados.

Para as versões 2018 a 2021 do BQE BillQuick Web Suite anteriores à 22.0.9.1, atualize para a versão 22.0.9.1 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao parâmetro txtID no formulário de login para minimizar o risco de exploração.

Restrinja o acesso ao procedimento xp cmdshell() para impedir a execução remota de código.