PT-2022-20069 · Microsoft · Sql Server
Pornsook Kornkitichai
·
Publicado
2022-05-09
·
Atualizado
2022-05-17
·
CVE-2022-30335
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Bonanza Wealth Management System (BWM) versão 7.3.2
Descrição
A vulnerabilidade permite a injeção de SQL por meio do formulário de login. Os usuários que inserirem um código de injeção de SQL na caixa de texto
Nome de usuário poderão coletar todas as senhas em formato criptografado do componente Microsoft SQL Server.Recomendações
Para o Bonanza Wealth Management System (BWM) versão 7.3.2, considere desativar a funcionalidade do formulário de login até que uma correção esteja disponível para evitar possíveis ataques de injeção de SQL. Restrinja o acesso ao componente Microsoft SQL Server para minimizar o risco de exploração. Evite usar a caixa de texto
Nome de usuário no formulário de login até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sql Server