PT-2021-5408 · Advantech · Advantech R-Seenet
Yuri Kramarz
·
Publicado
2021-11-22
·
Atualizado
2022-07-23
·
CVE-2021-21934
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Advantech R-SeeNet (versões afetadas não especificadas)
Descrição
O problema está relacionado à falta de proteção na estrutura da consulta SQL, permitindo a injeção de SQL por meio de uma solicitação HTTP especialmente criada. Isso pode ser acionado no parâmetro
imei filter por um usuário autenticado ou por meio de falsificação de solicitação entre sites, levando potencialmente à divulgação de informações protegidas.Recomendações
Como solução temporária, considere desativar o parâmetro
imei filter no arquivo device list.php até que um patch esteja disponível.Restrinja o acesso ao arquivo device list.php para minimizar o risco de exploração.
Evite usar o parâmetro
imei filter em solicitações HTTP autenticadas até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advantech R-Seenet