Katalog CVE

CVE-2023-37777

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W oprogramowaniu Synnefo Internet Management Software (IMS) w wersji 2023 i wcześniejszych występuje podatność na wstrzykiwanie SQL. Problem ten wynika z niewłaściwej walidacji danych wejściowych w określonym parametrze punktu końcowego API, co pozwala atakującemu manipulować zapytaniami SQL za pomocą spreparowanego wejścia.

Ocena ryzyka

Skuteczne wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do rekordów bazy danych z uprawnieniami administratora DB, co może być wykorzystane do dalszej eskalacji uprawnień oraz wykonywania dowolnych poleceń systemu operacyjnego.

Rekomendacja

Zaleca się aktualizację oprogramowania Synnefo IMS do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów walidacji danych wejściowych w API, aby zminimalizować ryzyko wstrzykiwania SQL.

Oryginalny opis (angielski, źródło NVD)

A SQL injection vulnerability exists in Synnefo Internet Management Software (IMS) version 2023 and earlier. This vulnerability occurs due to improper input validation in a specific API endpoint parameter allowing an attacker to manipulate SQL queries via crafted input. Successful exploitation could lead to unauthorized access to database records with DB administrator privileges which can be leveraged to escalate privileges further and execute arbitrary OS commands.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS