PT-2024-2872 · Netentsec · Netentsec Ns-Asg Application Security Gateway
Nsuwyh
·
Publicado
2024-04-08
·
Atualizado
2024-05-17
·
CVE-2024-3456
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Netentsec NS-ASG Application Security Gateway versão 6.3
Descrição
Uma falha crítica afeta uma funcionalidade desconhecida do arquivo /admin/config Anticrack.php, na qual a manipulação do argumento
GroupId leva a uma injeção de SQL. Isso pode ser explorado remotamente. A falha está relacionada à falta de proteção da estrutura da consulta SQL.Recomendações
Para a versão 6.3, como solução temporária, considere restringir o acesso ao arquivo /admin/config Anticrack.php e evitar o uso do argumento
GroupId até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Netentsec Ns-Asg Application Security Gateway