CVE-2024-53354

Nome do Software Vulnerável e Versões Afetadas EasyVirt DCScope versões 8.6.0 e anteriores EasyVirt CO2Scope versões 1.3.0 e anteriores

Descrição A vulnerabilidade permite que atacantes autenticados remotamente executem comandos SQL arbitrários. Isso pode ser alcançado por meio de vários parâmetros em diferentes endpoints da API, incluindo o parâmetro user em "/api/management/findfilterlist", o parâmetro user ou filter em "/api/audit/findmetawatcher", e outros. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes no mundo real onde esta vulnerabilidade foi explorada.

Recomendações Para o EasyVirt DCScope versões 8.6.0 e anteriores, atualize para uma versão posterior à 8.6.0. Para o EasyVirt CO2Scope versões 1.3.0 e anteriores, atualize para uma versão posterior à 1.3.0. Como medida de contorno temporária, considere restringir o acesso aos endpoints vulneráveis da API, como "/api/management/findfilterlist", "/api/audit/findmetawatcher" e outros, até que uma correção esteja disponível. Evite utilizar os parâmetros vulneráveis, como user, filter, login, is local, is ldap, is openid, role, TIMEAGO, IDENTIFIER, USER, NAME, COST, VM COST, VM, HOST, STORAGE e timeago, nos endpoints da API afetados até que a vulnerabilidade seja resolvida.