PT-2022-16936 · Databasir · Databasir
Luckyt0Mat0
·
Publicado
2022-04-20
·
Atualizado
2022-05-03
·
CVE-2022-24862
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Databasir versão 1.01
Descrição
O Databasir é uma plataforma de gerenciamento de documentos baseada em modelo de banco de dados relacional, voltada para o trabalho em equipe. Ele apresenta uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF). Durante o processo de verificação de download de um driver JDBC, o endereço de download do driver JDBC correspondente é baixado primeiro; no entanto, esse endereço retorna uma página de resposta com informações completas de erro ao acessar uma URL inexistente. Os invasores podem explorar essa vulnerabilidade para realizar ataques SSRF.
Recomendações
Para a versão 1.01 do Databasir, como solução temporária, considere restringir o processo de verificação de download dos drivers JDBC para minimizar o risco de exploração. Evite usar o recurso que baixa o endereço de download do driver JDBC até que a vulnerabilidade seja corrigida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Databasir