PT-2022-18141 · Unknown · Northstar Club Management
Publicado
2022-09-16
·
Atualizado
2022-09-19
·
CVE-2022-26959
CVSS v3.1
10
Crítica
| Vetor | AC:L/AV:N/A:H/C:H/I:H/PR:N/S:C/UI:N |
Nome do software vulnerável e versões afetadas
Northstar Club Management versão 6.3
Descrição
O problema diz respeito a duas vulnerabilidades de injeção SQL cega/baseada em tempo. Elas existem no parâmetro
userName da página “processlogin.jsp” no diretório “/northstar/Portal/” e no parâmetro userID da página “login.jsp” no diretório “/northstar/iphone/”. A exploração permite acesso total ao banco de dados, que contém dados organizacionais críticos.Recomendações
Para o Northstar Club Management versão 6.3, considere desativar as páginas
processlogin.jsp e login.jsp até que um patch esteja disponível para impedir a exploração das vulnerabilidades de injeção de SQL nos parâmetros userName e userID. Restrinja o acesso aos diretórios “/northstar/Portal/” e “/northstar/iphone/” para minimizar o risco de exploração. Evite usar os parâmetros userName e userID nas páginas afetadas até que o problema seja resolvido.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Northstar Club Management