PT-2024-30647 · Unknown · Easytest Online Test Platform
Cheng Ying Hsieh
+1
·
Publicado
2024-09-01
·
Atualizado
2024-09-05
·
CVE-2024-43775
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plataforma de testes online Easytest, versões 24E01 e anteriores
Descrição
A vulnerabilidade permite que usuários remotos autenticados executem comandos SQL arbitrários por meio do parâmetro
search na função de pesquisa de títulos de cursos. Isso possibilita que invasores executem comandos SQL maliciosos, o que pode levar a vazamentos de dados ou outros incidentes de segurança.Recomendações
Para as versões 24E01 e anteriores, considere desativar temporariamente a função de pesquisa até que uma correção esteja disponível. Restrinja o acesso ao parâmetro
search para minimizar o risco de exploração. Evite usar o parâmetro search na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Easytest Online Test Platform