PT-2024-26561 · Unknown · Opensis Community Edition
Whwhwh96
·
Publicado
2024-10-15
·
Atualizado
2025-07-17
·
CVE-2024-35584
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
OpenSis Community Edition, versões 8.0 a 9.1
Descrição
O problema está relacionado a injeção de SQL devido à falta de sanitização. Um usuário autenticado pode realizar uma injeção de SQL porque a aplicação anexa diretamente um valor arbitrário do cabeçalho
X-Forwarded-For a uma instrução SQL INSERT. Isso permite a possível manipulação de consultas ao banco de dados.Recomendações
Para as versões 8.0 a 9.1 do OpenSis Community Edition, considere desativar os arquivos PHP afetados (Ajax.php, ForWindow.php, ForExport.php, Modules.php, functions/HackingLogFnc.php) até que um patch esteja disponível para prevenir ataques de injeção SQL. Restrinja o acesso a esses arquivos para minimizar o risco de exploração. Evite usar o cabeçalho
X-Forwarded-For em instruções SQL até que o problema seja resolvido.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opensis Community Edition