PT-2025-15323 · Unknown · Esafenet Cdg

Xu Nie

·

Publicado

2025-04-08

·

Atualizado

2025-04-08

·

CVE-2025-3400

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas: ESAFENET CDG versão 5.6.3.154.205 20250114
Descrição: Foi identificada uma vulnerabilidade crítica no arquivo /client/UnChkMailApplication.jsp, permitindo injeção de SQL através da manipulação do argumento typename. Isso pode ser executado remotamente. O exploit foi divulgado publicamente e o fornecedor foi contatado, mas não respondeu.
Recomendações: Para a versão 5.6.3.154.205 20250114, como solução temporária, considere restringir o acesso ao arquivo /client/UnChkMailApplication.jsp para minimizar o risco de exploração. Evite utilizar o argumento typename no arquivo afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Special Elements Injection

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-89

Identificadores relacionados

CVE-2025-3400

Produtos afetados

Esafenet Cdg