PT-2024-22413 · Scalapay · Scalapay

Publicado

2024-03-25

Atualizado

2025-09-18

CVE-2024-28393

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Scalapay versões 1.2.41 e anteriores

Descrição

A falha permite que um invasor remoto obtenha privilégios elevados por meio do método ScalapayReturnModuleFrontController::postProcess(). Trata-se de uma vulnerabilidade de injeção de SQL.

Recomendações

Para as versões 1.2.41 e anteriores do Scalapay, como solução temporária, considere desativar o método ScalapayReturnModuleFrontController::postProcess() até que uma correção esteja disponível.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2024-28393

Produtos afetados

Scalapay

PT-2024-22413 · Scalapay · Scalapay

CVE-2024-28393

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 9