PT-2022-16922 · Dhis2 · Dhis2
Philip-Larsen-Donnelly
·
Publicado
2022-06-01
·
Atualizado
2022-06-08
·
CVE-2022-24848
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do DHIS2 anteriores à 2.36.10.1 e à 2.37.6.1
Descrição
O DHIS2 é um sistema de informação para captura, gerenciamento, validação, análise e visualização de dados. Uma falha de segurança do tipo injeção de SQL afeta o endpoint da API “/api/programs/orgUnits?programs=”. O sistema está vulnerável a ataques apenas por parte de usuários que estejam conectados ao DHIS2, e não há nenhuma maneira conhecida de explorar a vulnerabilidade sem primeiro estar conectado como usuário do DHIS2. A vulnerabilidade não está exposta a usuários não mal-intencionados e requer um ataque deliberado para ser explorada. Uma exploração bem-sucedida poderia permitir que o usuário mal-intencionado lesse, editasse e apagasse dados no banco de dados da instância do DHIS2.
Recomendações
Para versões do DHIS2 anteriores à 2.36.10.1, atualize para a versão 2.36.10.1 para resolver a vulnerabilidade.
Para versões do DHIS2 anteriores à 2.37.6.1, atualize para a versão 2.37.6.1 para resolver a vulnerabilidade.
Como solução alternativa temporária, considere aplicar medidas de mitigação no nível do proxy da web.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dhis2