PT-2022-10653 · Grandcom · Grandcom Dynweb
Martin Kubecka
·
Publicado
2022-05-19
·
Atualizado
2022-06-01
·
CVE-2021-37413
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do GRANDCOM DynWEB anteriores à 4.2
Descrição
A vulnerabilidade permite que um invasor remoto não autenticado explore uma vulnerabilidade de injeção de SQL na interface de login de administrador. Isso pode levar à obtenção de acesso administrativo à página da web, ao acesso ao banco de dados de usuários, à modificação do conteúdo da web e ao upload de arquivos personalizados. O script de login do backend não verifica nem sanitiza strings fornecidas pelo usuário, como
username e password.Recomendações
Para versões do GRANDCOM DynWEB anteriores à 4.2, atualize para a versão 4.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à interface de login de administrador para minimizar o risco de exploração. Além disso, evite usar entradas de usuário não sanitizadas no script de login do backend até que o problema seja resolvido.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Grandcom Dynweb