PT-2024-2068 · Unknown · Gtb Central Console
Adepts Of 0Xcc
·
Publicado
2024-01-24
·
Atualizado
2024-02-10
·
CVE-2024-22108
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
GTB Central Console versão 15.17.1-30814.NG
Descrição
Foi descoberta uma falha no método
setTermsHashAction em /opt/webapp/lib/PureApi/CCApi.class.php, que é vulnerável a uma injeção de SQL não autenticada através do endpoint da API /ccapi.php. Isso permite que um invasor altere a senha do administrador para um valor conhecido, executando consultas SQL arbitrárias.Recomendações
Para o GTB Central Console versão 15.17.1-30814.NG, como solução temporária, considere desativar o método
setTermsHashAction até que um patch esteja disponível. Restrinja o acesso ao endpoint /ccapi.php para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gtb Central Console