PT-2024-16658 · Guangzhou Tuchuang Computer Software Development · Interlib Library Cluster Automation Management System
Wiki
+1
·
Publicado
2024-11-06
·
Atualizado
2024-12-11
·
CVE-2024-10947
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Sistema de Gerenciamento de Automação de Clusters de Bibliotecas Interlib da Guangzhou Tuchuang Computer Software Development, versões até 2.0.1
Descrição
Foi encontrada uma vulnerabilidade crítica no software, afetando código desconhecido do arquivo /interlib/order/BatchOrder?cmdACT=admin order&xsl=adminOrder OrderList.xsl. A manipulação do argumento
bookrecno leva à injeção de SQL. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma.Recomendações
Para versões até 2.0.1, atualize para a versão mais recente imediatamente para mitigar os riscos.
Como solução temporária, considere restringir o acesso ao endpoint
/interlib/order/BatchOrder até que um patch esteja disponível.Evite usar o argumento
bookrecno no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
Special Elements Injection
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Interlib Library Cluster Automation Management System