PT-2021-5095 · Advantech · Advantech R-Seenet
Yuri Kramarz
·
Publicado
2021-11-22
·
Atualizado
2022-07-22
·
CVE-2021-21922
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Advantech R-SeeNet (versões afetadas não especificadas)
Descrição
Uma solicitação HTTP especialmente criada pode levar à injeção de SQL, permitindo que um invasor divulgue informações protegidas. Isso pode ser acionado por meio do parâmetro
username filter com uma conta administrativa ou via falsificação de solicitação entre sites. O problema está relacionado à falta de proteção da estrutura da consulta SQL.Recomendações
Como solução temporária, considere desativar o parâmetro
username filter até que uma correção esteja disponível.Restrinja o acesso à conta administrativa para minimizar o risco de exploração.
Evite usar o parâmetro
username filter em solicitações HTTP afetadas até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advantech R-Seenet