PT-2022-11509 · Unknown · Teammate+ Audit
Publicado
2022-06-06
·
Atualizado
2022-06-13
·
CVE-2021-41932
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
TeamMate+ Audit versão 28.0.19.0
Descrição
Uma vulnerabilidade de injeção SQL cega no formulário de pesquisa permite que qualquer usuário autenticado crie injeções SQL maliciosas. Isso pode resultar no comprometimento total do banco de dados, na obtenção de informações sobre outros usuários e no acesso não autorizado a dados de auditoria.
Recomendações
Para o TeamMate+ Audit versão 28.0.19.0, considere desativar a funcionalidade do formulário de pesquisa até que um patch esteja disponível para impedir injeções SQL maliciosas. Restrinja o acesso ao formulário de pesquisa para minimizar o risco de exploração. Evite usar o formulário de pesquisa com entradas fornecidas pelo usuário até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Teammate+ Audit