Argitalpen data: 2022/03/01
Garrantzia:Kritikoa
Kaltetutako baliabideak:
Lansweeper 9.1.20.2.
Azalpena:
Cisco Talos-eko Marcin "Icewall" Noga ikertzaileak Lansweeper aktibo informatikoen kudeaketa soluzioak dituen 4 ahultasunen berri eman du, 3 larritasun kritikokoak eta 1 ertainekoa. Horiek baliatuz erasotzaile batek SQL injekzioak egin litzake eta Javascript kodearen injekzio arbitrarioa egin.
Konponbidea:
Hornitzaileak ahultasunak partxeatu ditu.
Xehetasuna:
Ondoren zehazten dira ahultasun kritikoak:
- SQL injekzio erako ahultasun bat HelpdeskEmailActions.aspx funtzionaltasunean, Configuration - > General Settings ekintzarekin erlazionatua, eta LSCFHelpdeskSetupActions.cs fitxategian kokatuta. Ahultasun horretarako CVE-2022-22149 identifikatzailea esleitu da.
- XSS erako ahultasuna WebUserActions.aspx funtzionaltasunean, Configuration - > Website Settings ekintzarekin erlazionatua, eta LSCFWebUserActions.cs fitxategian kokatuta. Ahultasun horretarako CVE-2022-21145 identifikatzailea esleitu da.
- SQL injekzio erako ahultasuna EchoAssets.aspx funtzionaltasunean, /Scanning/Echo/EchoAssets.aspx scriptera bidalitako order parametro batekin erlazionatua. Ahultasun horretarako CVE-2022-21234 identifikatzailea esleitu da.
Larritasun ertaineko ahultasunerako CVE-2022-21210 identifikatzailea erabili da.
Etiketak:Eguneraketa, Ahultasuna