PT-2024-29466 · Unknown · Money Manager Ex Webapp
Jp-Wagner
·
Publicado
2024-10-24
·
Atualizado
2024-10-29
·
CVE-2024-41618
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Money Manager EX WebApp (web-money-manager-ex) versão 1.2.2
Descrição
O problema se deve à sanitização inadequada das entradas do usuário no parâmetro
TrDeleteArr, que é incorporado diretamente a uma consulta SQL. Isso ocorre na função transaction delete group, permitindo a injeção de SQL.Recomendações
Para o Money Manager EX WebApp (web-money-manager-ex) versão 1.2.2, como solução temporária, considere desativar a função
transaction delete group até que um patch esteja disponível. Restrinja o acesso ao parâmetro TrDeleteArr para minimizar o risco de exploração.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Money Manager Ex Webapp