PT-2022-11961 · Sysaid · Sysaid Itil
Brandon Perry
·
Publicado
2022-01-11
·
Atualizado
2022-01-22
·
CVE-2021-43971
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
SysAid ITIL versão 20.4.74 b10
Descrição
Uma vulnerabilidade de injeção de SQL permite que um invasor remoto autenticado execute comandos SQL arbitrários por meio do parâmetro
filterText no endpoint da API “/mobile/SelectUsers.jsp”.Recomendações
Para o SysAid ITIL versão 20.4.74 b10, considere restringir o acesso ao endpoint “/mobile/SelectUsers.jsp” até que uma correção esteja disponível e evite usar o parâmetro
filterText neste endpoint para minimizar o risco de exploração.Exploit
Correção
RCE
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sysaid Itil