PT-2024-23336 · Shanghai Brad Technology · Bladex
Spoofer
·
Publicado
2024-03-28
·
Atualizado
2024-05-17
·
CVE-2024-3039
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Shanghai Brad Technology BladeX versão 3.4.0
Descrição
Foi identificada uma vulnerabilidade crítica no componente API do Shanghai Brad Technology BladeX, afetando especificamente uma função desconhecida do arquivo /api/blade-user/export-user. A falha permite a injeção de SQL por meio da manipulação de entradas, como
updatexml(1,concat(0x3f,md5(123456),0x3f),1)=1, que pode ser explorada remotamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu.Recomendações
Para o Shanghai Brad Technology BladeX versão 3.4.0, restrinja o acesso à API ao endpoint
/api/blade-user/export-user e revise a sanitização de consultas SQL para evitar a exploração. Como solução temporária, considere desativar o endpoint da API afetado até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bladex