PT-2021-4938 · Advantech · Advantech R-Seenet
Yuri Kramarz
·
Publicado
2021-08-19
·
Atualizado
2022-07-22
·
CVE-2021-21924
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Advantech R-SeeNet (versões afetadas não especificadas)
Descrição
O problema está relacionado ao tratamento incorreto do parâmetro
desc filter no componente de lista de dispositivos, o que pode levar a uma injeção de SQL. Um invasor pode explorar essa vulnerabilidade realizando solicitações HTTP autenticadas ou por meio de falsificação de solicitação entre sites (CSRF). Isso permite que um invasor remoto realize ataques de script entre sites (XSS) enviando consultas SQL especialmente criadas.Recomendações
Como solução temporária, considere desativar o parâmetro
desc filter no componente afetado até que um patch esteja disponível.Restrinja o acesso ao componente de lista de dispositivos para minimizar o risco de exploração.
Evite usar o parâmetro
desc filter em solicitações HTTP autenticadas até que o problema seja resolvido.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advantech R-Seenet