PT-2021-5056 · Advantech · Advantech R-Seenet
Yuri Kramarz
·
Publicado
2021-11-22
·
Atualizado
2022-07-22
·
CVE-2021-21920
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Advantech R-SeeNet (versões afetadas não especificadas)
Descrição
O problema está relacionado à falta de proteção da estrutura da consulta SQL no parâmetro
surname filter do arquivo user list.php. Isso pode ser explorado por um invasor remoto usando uma solicitação HTTP especialmente criada, levando potencialmente à divulgação de informações protegidas. A vulnerabilidade pode ser acionada ao fazer solicitações HTTP autenticadas ao parâmetro surname filter, seja com uma conta administrativa ou por meio de falsificação de solicitação entre sites.Recomendações
Para o Advantech R-SeeNet, considere desativar o parâmetro
surname filter no arquivo user list.php como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo user list.php para minimizar o risco de exploração. Evite usar o parâmetro surname filter nas solicitações HTTP afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advantech R-Seenet