CVE-2025-34179

Nome do Software Vulnerável e Versões Afetadas NetSupport Manager versão 14.12.0001

Descrição O NetSupport Manager contém uma falha de injeção de SQL não autenticada na forma como seu Connectivity Server/Gateway processa solicitações HTTPS. O servidor utiliza uma consulta SQLite não sanitizada na tabela FileLinks dentro do banco de dados gateway.db para avaliar os URIs das solicitações. Um atacante pode injetar código SQL através do valor LinkName/URI, permitindo o controle sobre o campo FileName. Esse controle permite que o servidor leia e retorne arquivos locais arbitrários do disco, resultando em potencial divulgação arbitrária de arquivos locais.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.