PT-2024-33060 · Wavelog · Wavelog
Publicado
2024-10-14
·
Atualizado
2024-10-19
·
CVE-2024-48257
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Wavelog versão 1.8.5
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de SQL no arquivo Oqrs model.php, especificamente por meio do parâmetro
station id na função get worked modes. Essa vulnerabilidade permite ataques de injeção de SQL.Recomendações
Para o Wavelog versão 1.8.5, considere desativar a função
get worked modes no arquivo Oqrs model.php até que um patch esteja disponível para prevenir ataques de injeção de SQL. Restrinja o acesso ao arquivo Oqrs model.php para minimizar o risco de exploração. Evite usar o parâmetro station id na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wavelog