PT-2022-19533 · Invicti · Invicti Acunetix
Aamir Rehman
·
Publicado
2022-04-19
·
Atualizado
2022-04-27
·
CVE-2022-29315
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Invicti Acunetix anteriores à 14
Descrição
A vulnerabilidade permite a injeção de CSV através do campo
Description na página “Add Targets”, especificamente quando o recurso “Export CSV” é utilizado. Isso pode ocorrer ao usar o endpoint /api para gerenciamento de alvos, embora o endpoint exato não seja especificado. O campo Description está vulnerável à injeção, permitindo potencialmente que dados maliciosos sejam inseridos nas exportações CSV.Recomendações
Para versões do Invicti Acunetix anteriores à 14, atualize para a versão 14 ou posterior para resolver o problema. Como solução alternativa temporária, considere evitar o uso do recurso Exportar CSV até que a atualização seja aplicada. Além disso, restrinja o acesso à página Adicionar alvos e ao campo Descrição para minimizar o risco de exploração.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Invicti Acunetix