Perusahaan keamanan jaringan SonicWall pada hari Jumat meluncurkan perbaikan untuk mengurangi kerentanan injeksi SQL (SQLi) kritis yang memengaruhi produk Analytics On-Prem dan Global Management System (GMS).

Kerentanan, dilacak sebagai CVE-2022-22280diberi peringkat 9,4 untuk tingkat keparahan pada sistem penilaian CVSS dan berasal dari apa yang dijelaskan perusahaan sebagai “penetralan elemen khusus yang tidak tepat” yang digunakan dalam perintah SQL yang dapat menyebabkan injeksi SQL yang tidak diautentikasi.

Keamanan cyber

“Tanpa penghapusan atau kutipan sintaks SQL yang memadai dalam input yang dapat dikontrol pengguna, kueri SQL yang dihasilkan dapat menyebabkan input tersebut ditafsirkan sebagai SQL alih-alih data pengguna biasa,” catatan MITER dalam deskripsi injeksi SQL.

SonicWall

“Ini dapat digunakan untuk mengubah logika kueri untuk melewati pemeriksaan keamanan, atau untuk menyisipkan pernyataan tambahan yang memodifikasi database back-end, mungkin termasuk eksekusi perintah sistem.”

H4lo dan Catalpa dari DBappSecurity HAT Lab telah dikreditkan dengan menemukan dan melaporkan kelemahan yang mempengaruhi 2.5.0.3-2520 dan versi sebelumnya dari Analytics On-Prem serta semua versi GMS sebelum dan termasuk 9.3.1-SP2-Hotfix1.

Keamanan cyber

Organisasi yang mengandalkan peralatan rentan disarankan untuk meningkatkan ke Analytics 2.5.0.3-2520-Hotfix1 dan GMS 9.3.1-SP2-Hotfix-2.

Halaman:
1 2