PT-2024-33053 · Unknown · Vehicle Management System
Shadowbyte1
·
Publicado
2024-12-23
·
Atualizado
2025-01-08
·
CVE-2024-48245
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Sistema de Gestão de Veículos, versões 1.0 a 1.3
Descrição
O problema diz respeito a uma vulnerabilidade de injeção de SQL. Um usuário convidado pode explorar parâmetros POST vulneráveis em várias ações administrativas, como reservar um veículo ou confirmar uma reserva. Os parâmetros afetados incluem
Booking ID, Action Name e Payment Confirmation ID, que estão presentes em “/newvehicle.php” e “/newdriver.php”.Recomendações
Para as versões 1.0 a 1.3 do Sistema de Gerenciamento de Veículos, considere desativar os parâmetros vulneráveis
Booking ID, Action Name e Payment Confirmation ID nos endpoints de API afetados “/newvehicle.php” e “/newdriver.php” até que um patch esteja disponível. Restrinja o acesso a esses endpoints para minimizar o risco de exploração. Evite usar os parâmetros vulneráveis em ações administrativas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vehicle Management System