PT-2024-11748 · Sparx Systems · Enterprise Architect
Maksymilian Kubiak
+1
·
Publicado
2024-01-31
·
Atualizado
2024-02-09
·
CVE-2022-47072
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Enterprise Architect versão 16.0.1605
Descrição
A vulnerabilidade permite que invasores executem comandos SQL arbitrários por meio do parâmetro
Find na caixa de diálogo “Select Classifier”. Isso pode ser explorado por invasores para executar consultas SQL não autorizadas.Recomendações
Para o Enterprise Architect versão 16.0.1605, considere restringir o acesso à caixa de diálogo “Select Classifier” até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o parâmetro
Find na caixa de diálogo afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Enterprise Architect