PT-2024-27927 · R Hub · R-Hub Turbomeeting
0Xc0Ffeee
·
Publicado
2024-07-25
·
Atualizado
2024-09-09
·
CVE-2024-38289
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do R-HUB TurboMeeting até a 8.x
Descrição
Uma vulnerabilidade de injeção de SQL baseada em valores booleanos no endpoint “Virtual Meeting Password” (VMP) permite que invasores remotos não autenticados extraiam senhas com hash do banco de dados e se autentiquem na aplicação por meio de entradas SQL maliciosas.
Recomendações
Para as versões do R-HUB TurboMeeting até a 8.x, considere restringir o acesso ao endpoint Virtual Meeting Password até que uma correção esteja disponível.
Como solução alternativa temporária, evite usar entradas SQL maliciosas no endpoint VMP para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
R-Hub Turbomeeting