PT-2024-35766 · Siyuan · Siyuan
88250
·
Publicado
2024-11-29
·
Atualizado
2024-12-02
·
CVE-2024-53506
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Siyuan versão 3.1.11
Descrição
Foi identificada uma vulnerabilidade de injeção de SQL no Siyuan por meio do parâmetro de matriz
ids no endpoint da API “/batchGetBlockAttrs”. Isso permite uma possível exploração.Recomendações
Para o Siyuan versão 3.1.11, como solução temporária, considere restringir o acesso ao endpoint da API
/batchGetBlockAttrs ou sanitizar o parâmetro de matriz ids para evitar ataques de injeção de SQL até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Siyuan