PT-2024-23678 · Derbynet · Derbynet
Chocapikk
+1
·
Publicado
2024-04-05
·
Atualizado
2024-07-03
·
CVE-2024-30928
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
DerbyNet versões 9.0 e anteriores
Descrição
A vulnerabilidade permite que invasores executem comandos SQL arbitrários por meio do parâmetro
classids no endpoint “ajax/query.slide.next.inc”. Isso permite que invasores manipulem consultas ao banco de dados, o que pode levar ao acesso ou à modificação não autorizada de dados.Recomendações
Para as versões 9.0 e anteriores do DerbyNet, como solução temporária, considere restringir o acesso ao endpoint “ajax/query.slide.next.inc” ou desativar o uso do parâmetro
classids até que uma correção esteja disponível.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Derbynet