PT-2025-15326 · Unknown · Esafenet Cdg

Xu Nie

·

Publicado

2025-04-08

·

Atualizado

2025-04-08

·

CVE-2025-3401

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas: ESAFENET CDG versão 5.6.3.154.205 20250114
Descrição: Foi identificada uma falha crítica, afetando código desconhecido no arquivo /parameter/getLimitIPList.jsp. A manipulação do argumento noticeId resulta em injeção de SQL. Esta vulnerabilidade pode ser explorada remotamente. O exploit foi divulgado publicamente e o fabricante foi contatado, mas não respondeu.
Recomendações: Para o ESAFENET CDG versão 5.6.3.154.205 20250114, como solução temporária, considere restringir o acesso ao arquivo /parameter/getLimitIPList.jsp ou desativar a manipulação do argumento noticeId até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta falha.

Exploit

Correção

Special Elements Injection

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-89

Identificadores relacionados

CVE-2025-3401

Produtos afetados

Esafenet Cdg