PT-2026-24203 · Nefteprodukttekhnika Llc · Buk Ts-G Gas Station Automation System
Yergashvoyev Jamshed
·
Publicado
2026-03-10
·
Atualizado
2026-05-12
·
CVE-2026-3843
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Nefteprodukttekhnika BUK TS-G Sistema de Automação de Postos de Combustíveis versão 2.9.1
Descrição
O sistema contém uma vulnerabilidade de Injeção SQL no módulo de configuração do sistema. Um atacante pode enviar solicitações HTTP POST manipuladas para o endpoint
/php/request.php por meio do parâmetro sql em dados application/x-www-form-urlencoded (por exemplo, action=do&sql=<query here>&reload driver=0) para executar comandos SQL arbitrários e, potencialmente, alcançar execução remota de código.Recomendações
Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, restrinja o acesso ao endpoint
/php/request.php.Correção
RCE
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Buk Ts-G Gas Station Automation System