PT-2024-13617 · Archibus · Archibus
Elliot Rasch
·
Publicado
2024-02-02
·
Atualizado
2025-06-03
·
CVE-2023-48645
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Aplicativo Archibus versão 4.0.3 para iOS
Descrição
Foi detectada uma falha no aplicativo Archibus, que utiliza um banco de dados local sincronizado com uma instância do servidor central na Web. Existe uma vulnerabilidade de injeção de SQL no recurso de pesquisa de solicitações de trabalho do módulo de Manutenção do aplicativo, permitindo que consultas sejam realizadas no banco de dados local.
Recomendações
Para a versão 4.0.3 do aplicativo Archibus, considere desativar o recurso de pesquisa de solicitações de trabalho no módulo Manutenção como uma solução temporária até que uma correção esteja disponível. Restrinja o acesso ao banco de dados local para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Archibus