PT-2024-33193 · Sas · Sas Studio
Publicado
2024-10-30
·
Atualizado
2024-11-04
·
CVE-2024-48733
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
SAS Studio versão 9.4
Descrição
Existe uma vulnerabilidade de injeção de SQL no endpoint /SASStudio/sasexec/sessions/{sessionID}/sql do SAS Studio, permitindo que um invasor remoto execute comandos SQL arbitrários por meio do corpo da solicitação POST. O fornecedor contesta essa vulnerabilidade, pois a execução de instruções SQL é destinada a usuários autorizados.
Recomendações
Para o SAS Studio versão 9.4, considere restringir o acesso ao endpoint /SASStudio/sasexec/sessions/{sessionID}/sql para minimizar o risco de exploração. Como solução temporária, limite a execução de comandos SQL apenas aos usuários necessários e autorizados até que um patch ou orientação oficial esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sas Studio