PT-2022-21973 · Unknown · Lorawan Network Server+1
Bhaskar Tejaswi
·
Publicado
2022-10-13
·
Atualizado
2025-05-15
·
CVE-2022-34022
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
ResIOT IOT Platform + LoRaWAN Network Server, versões até 4.1.1000114
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de SQL. Ela pode ser explorada por meio de uma solicitação POST maliciosa enviada ao endpoint da API “/ResiotQueryDBActive”. Isso permite o acesso não autorizado ou a manipulação de dados.
Recomendações
Para versões até 4.1.1000114, atualize para uma versão que contenha uma correção para este problema, pois o uso de uma solicitação POST maliciosa para o endpoint “/ResiotQueryDBActive” pode levar à injeção de SQL.
Como solução temporária, considere restringir o acesso ao endpoint da API “/ResiotQueryDBActive” até que um patch esteja disponível.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Lorawan Network Server
Resiot Iot Platform