PT-2024-39940 · Qplant Sf · Qplant Sf
Adrián Marín Villar
·
Publicado
2024-10-15
·
Atualizado
2024-10-19
·
CVE-2024-9925
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
QPLANT SF versão 1.0
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de SQL. A exploração dessa vulnerabilidade poderia permitir que um invasor remoto recuperasse todas as informações do banco de dados enviando uma consulta SQL especialmente criada para o parâmetro
email no endpoint “RequestPasswordChange”.Recomendações
Para o QPLANT SF versão 1.0, como solução temporária, considere validar as entradas do usuário e restringir o acesso ao endpoint “RequestPasswordChange” até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Qplant Sf