PT-2021-5445 · Advantech · Advantech R-Seenet
Yuri Kramarz
·
Publicado
2021-08-19
·
Atualizado
2022-07-23
·
CVE-2021-21930
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Advantech R-SeeNet (versões afetadas não especificadas)
Descrição
A vulnerabilidade está relacionada ao tratamento incorreto do parâmetro
sn filter no componente device list, permitindo que um invasor realize ataques de injeção de SQL. Isso pode ser desencadeado por meio de solicitações HTTP autenticadas ao parâmetro sn filter, potencialmente por meio de falsificação de solicitação entre sites (CSRF). Um invasor pode explorar essa vulnerabilidade como qualquer usuário autenticado.Recomendações
Para o Advantech R-SeeNet, considere desativar o parâmetro
sn filter no componente device list até que uma correção esteja disponível para impedir a exploração.Restrinja o acesso ao componente device list para minimizar o risco de exploração.
Evite usar o parâmetro
sn filter em solicitações HTTP autenticadas até que o problema seja resolvido.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advantech R-Seenet