CVE-2022-35864

BMC Track-It! versão 20.21.02.109

Esta vulnerabilidade permite que invasores remotos divulguem informações confidenciais nas instalações afetadas. É necessária autenticação para explorar esta vulnerabilidade. A falha específica existe no endpoint “GetPopupSubQueryDetails”. A vulnerabilidade resulta da falta de validação adequada de uma sequência de caracteres fornecida pelo usuário antes de usá-la para construir consultas SQL. Um invasor pode aproveitar esta vulnerabilidade para divulgar credenciais armazenadas, levando a um comprometimento adicional.

Para a versão 20.21.02.109, como solução temporária, considere restringir o acesso ao endpoint “GetPopupSubQueryDetails” até que um patch esteja disponível. Além disso, certifique-se de validar adequadamente as cadeias de caracteres fornecidas pelo usuário para evitar ataques de injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.