PT-2021-5093 · Advantech · Advantech R-Seenet
Yuri Kramarz
·
Publicado
2021-11-22
·
Atualizado
2022-05-31
·
CVE-2021-21937
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Advantech R-SeeNet (versões afetadas não especificadas)
Descrição
A vulnerabilidade está relacionada à falta de proteção na estrutura da consulta SQL, que pode ser explorada por meio de uma solicitação HTTP especialmente criada, levando à injeção de SQL. Isso pode ser desencadeado pela realização de solicitações HTTP autenticadas, potencialmente por meio de falsificação de solicitação entre sites, e afeta o parâmetro
host alt filter no arquivo device list.php. Um invasor pode explorar essa vulnerabilidade como qualquer usuário autenticado, o que lhe permite potencialmente divulgar informações protegidas usando uma solicitação especialmente criada.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advantech R-Seenet