PT-2022-11886 · Aimanager · Aimanager

Mukeer

·

Publicado

2022-03-24

·

Atualizado

2022-03-29

·

CVE-2021-43700

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
ApiManager versão 1.1
Descrição
Foi detectada uma falha no ApiManager, que consiste em uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do endpoint da API “/index.php?act=api&tag=8”.
Recomendações
Para o ApiManager versão 1.1, como solução temporária, considere restringir o acesso ao endpoint da API “/index.php?act=api&tag=8” até que um patch esteja disponível. Evite usar o parâmetro tag no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2021-43700

Produtos afetados

Aimanager