PT-2021-6949 · Opensips · Opensis
Quanhx11
·
Publicado
2021-11-30
·
Atualizado
2021-11-30
·
CVE-2021-41678
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
openSIS versão 8.0
Descrição
O problema está relacionado à falta de proteção contra a exploração da estrutura de consultas SQL. Isso pode permitir que um invasor remoto execute comandos SQL arbitrários por meio do endpoint “/opensis/modules/users/Staff.php”, especificamente utilizando o parâmetro
staff{TITLE}.Recomendações
Para o openSIS versão 8.0, considere desativar o endpoint
/opensis/modules/users/Staff.php até que uma correção esteja disponível para impedir a exploração por meio do parâmetro staff{TITLE}. Restrinja o acesso a este endpoint para minimizar o risco de ataques de injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opensis