Wave EMBASSY Remote Administration Server (ERAS) incluye la aplicación ERAS Help Desk que falla al filtrar la entrada del usuario, permitiendo así la explotación de vulnerabilidades de inyección SQL. La vulnerabilidad ha sido catalogada con nivel de importancia Alta.
Detalle
- La aplicación ERAS Help Desk contiene vulnerabilidades de tipo blind SQL injection en el parámetro ct100$4MainController$TextBoxSearchValue ó en el cuadro de búsqueda.
- Además permitiría la ejecución de comandos en el servidor objetivo.
- Las vulnerabilidades requieren que el atacante esté autenticado en la aplicación.
Recursos afectados
Wave EMBASSY Remote Administration Server
Repercusión en el sistema
- Un atacante remoto podría ejecutar consultas SQL en el servidor, con elevación de privilegios. Como resultado, los atacantes pueden ser capaces de ver o modificar el contenido de la base de datos.
- Además, un atacante podría ejecutar comandos del sistema operativo en el servidor, lo que podría permitirles tomar el control del mismo.
Recomendación
Actualmente no existe ningún parche ni actualización para solucionar dichas vulnerabilidades
Fuente: INTECO
