PT-2022-7305 · Adodb+3 · Adodb+3
Emmet Leahy
·
Publicado
2022-01-25
·
Atualizado
2024-06-10
·
CVE-2021-3850
CVSS v3.1
9.4
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do adodb anteriores à 5.20.21
Descrição
O problema está relacionado a uma falha de contorno de autenticação na biblioteca adodb. Essa falha pode ser explorada por um invasor remoto para contornar o processo de autenticação. A vulnerabilidade está associada à função
adodb addslashes() e pode permitir que um invasor injete valores em uma string de conexão do PostgreSQL, fornecendo um parâmetro entre aspas simples. Dependendo de como a biblioteca é utilizada, isso pode permitir que um invasor contorne o processo de login ou obtenha acesso ao endereço IP do servidor.Recomendações
Para resolver o problema, atualize para a versão 5.20.21 ou posterior do ADOdb.
Como solução temporária, certifique-se de que os parâmetros passados para
ADOConnection::connect() ou funções relacionadas não estejam entre aspas simples.Considere excluir a linha 29 em
drivers/adodb-postgres64.inc.php para corrigir a vulnerabilidade.Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Linuxmint
Red Os
Ubuntu
Adodb