CVE-2023-37777
CriticalSummary
W oprogramowaniu Synnefo Internet Management Software (IMS) w wersji 2023 i wcześniejszych występuje podatność na wstrzykiwanie SQL. Problem ten wynika z niewłaściwej walidacji danych wejściowych w określonym parametrze punktu końcowego API, co pozwala atakującemu manipulować zapytaniami SQL za pomocą spreparowanego wejścia.
Risk Assessment
Skuteczne wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do rekordów bazy danych z uprawnieniami administratora DB, co może być wykorzystane do dalszej eskalacji uprawnień oraz wykonywania dowolnych poleceń systemu operacyjnego.
Recommendation
Zaleca się aktualizację oprogramowania Synnefo IMS do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów walidacji danych wejściowych w API, aby zminimalizować ryzyko wstrzykiwania SQL.
Original NVD description (English source)
A SQL injection vulnerability exists in Synnefo Internet Management Software (IMS) version 2023 and earlier. This vulnerability occurs due to improper input validation in a specific API endpoint parameter allowing an attacker to manipulate SQL queries via crafted input. Successful exploitation could lead to unauthorized access to database records with DB administrator privileges which can be leveraged to escalate privileges further and execute arbitrary OS commands.

