PT-2021-5480 · Advantech · Advantech R-Seenet
Yuri Kramarz
·
Publicado
2021-08-19
·
Atualizado
2022-07-22
·
CVE-2021-21923
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Advantech R-SeeNet (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de SQL. Ela pode ser acionada por meio de solicitações HTTP autenticadas ao parâmetro
company filter, potencialmente por meio de falsificação de solicitação entre sites (CSRF) ou usando uma conta administrativa. A vulnerabilidade está associada à falta de proteção da estrutura da consulta SQL no componente user list. Um invasor pode explorar essa vulnerabilidade para executar consultas SQL arbitrárias.Recomendações
Para o Advantech R-SeeNet, considere desativar o acesso ao parâmetro
company filter no componente user list até que uma correção esteja disponível.Restrinja o acesso à conta administrativa para minimizar o risco de exploração.
Evite usar o parâmetro
company filter em solicitações HTTP afetadas até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advantech R-Seenet