PT-2021-5296 · Advantech · Advantech R-Seenet
Yuri Kramarz
·
Publicado
2021-08-19
·
Atualizado
2022-07-22
·
CVE-2021-21927
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Advantech R-SeeNet (versões afetadas não especificadas)
Descrição
O problema está relacionado ao tratamento incorreto do parâmetro
loc filter no componente de lista de dispositivos do software de monitoramento Advantech R-SeeNet. Isso pode permitir que um invasor remoto realize ataques de cross-site scripting enviando consultas SQL especialmente criadas. Um invasor pode fazer solicitações HTTP autenticadas para acionar essas vulnerabilidades, o que pode ser feito como qualquer usuário autenticado ou por meio de falsificação de solicitação entre sites no parâmetro loc filter.Recomendações
Como solução temporária, considere desativar o parâmetro
loc filter até que uma correção esteja disponível.Restrinja o acesso ao componente de lista de dispositivos para minimizar o risco de exploração.
Evite usar o parâmetro
loc filter em solicitações HTTP afetadas até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advantech R-Seenet