PT-2024-30648 · Unknown · Easytest Online Test Platform
Cheng Ying Hsieh
+1
·
Publicado
2024-09-01
·
Atualizado
2024-09-04
·
CVE-2024-43776
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plataforma de testes online Easytest, versões 24E01 e anteriores
Descrição
A vulnerabilidade permite que usuários remotos autenticados executem comandos SQL arbitrários por meio do parâmetro
qlevel na função de simulado de prova. Isso possibilita que invasores manipulem consultas ao banco de dados, o que pode levar ao acesso ou à modificação não autorizada de dados.Recomendações
Para as versões 24E01 e anteriores, considere restringir o acesso à função de exame simulado até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro
qlevel na função afetada para minimizar o risco de exploração.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Easytest Online Test Platform