PT-2024-22834 · Synology · Surveillance Station
Team.Envy
·
Publicado
2024-03-27
·
Atualizado
2025-01-14
·
CVE-2024-29238
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Synology Surveillance Station anteriores à 9.2.0-9289 e à 9.2.0-11289
Descrição
O problema está relacionado à neutralização inadequada de elementos especiais utilizados em um comando SQL, também conhecida como “injeção de SQL”, no componente webapi Log.CountByCategory. Isso permite que usuários remotos autenticados injetem comandos SQL por meio de vetores não especificados.
Recomendações
Para versões anteriores à 9.2.0-9289, atualize para a versão 9.2.0-9289 ou posterior.
Para versões anteriores à 9.2.0-11289, atualize para a versão 9.2.0-11289 ou posterior.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Surveillance Station