CRITICAL🇬🇧 English

CVE-2024-30923

SQL Injection z możliwością RCE w DerbyNet v9.0 i wcześniejszych

CVSS 9.8v3.1pub. 2024-04-18upd. 2025-11-04

Podatność typu SQL Injection w aplikacji DerbyNet w wersji 9.0 i wcześniejszych umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Ze względu na brak wymogu uwierzytelnienia i pełny zakres wpływu na poufność, integralność i dostępność systemu, podatność oceniono jako krytyczną (CVSS 9.8).

Pokaż oryginał (EN)

SQL Injection vulnerability in DerbyNet v9.0 and below allows a remote attacker to execute arbitrary code via the where Clause in Racer Document Rendering

🤖 Analiza AI
Jak działa

Podatność występuje w mechanizmie renderowania dokumentów zawodnika (Racer Document Rendering), gdzie aplikacja nie waliduje poprawnie danych wejściowych przekazywanych w klauzuli WHERE zapytania SQL. Atakujący może spreparować złośliwe żądanie sieciowe zawierające odpowiednio skonstruowany payload SQL, który zostanie wykonany bezpośrednio przez silnik bazy danych. Poprzez nadużycie mechanizmów bazy danych możliwe jest dalsze wykonanie dowolnego kodu (RCE) na podatnym systemie.

Skutki

Atakujący może uzyskać pełną kontrolę nad bazą danych aplikacji, a w konsekwencji wykonać dowolny kod na serwerze, co prowadzi do kompromitacji poufności, integralności oraz dostępności całego systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako dodatkowe środki zaradcze zaleca się ograniczenie dostępu do aplikacji wyłącznie do zaufanych sieci oraz zastosowanie reguł WAF blokujących próby SQL Injection.

Kogo dotyczy

DerbyNet w wersji 9.0 oraz wszystkich wcześniejszych wersjach.

Uwagi

Szczegółowy opis techniczny podatności wraz z dowodem słuszności (proof-of-concept) został opublikowany przez badacza na stronie chocapikk.com oraz w liście full-disclosure (seclists.org, kwiecień 2024), co zwiększa ryzyko wykorzystania podatności przez atakujących.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Derbynet

    APP
    Derbynet
    ≤ 9.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCESQLi
CWE
Referencje

Powiązane podatności

CVE-2024-30922CRITICAL9.8PL ✓ten sam produkt

SQL Injection w DerbyNet v9.0 — zdalne wykonanie kodu przez klauzulę WHERE

CVE-2024-31818CRITICAL9.8PL ✓ten sam produkt

Path Traversal z RCE w DerbyNet v.9.0 — komponent kiosk.php

CVE-2024-30920HIGH7.4ten sam produkt

Cross Site Scripting vulnerability in DerbyNet v9.0 and below allows a remote attacker to execute arbitrary co...

CVE-2024-30928HIGH8.1ten sam produkt

SQL Injection vulnerability in DerbyNet v9.0 and below allows attackers to execute arbitrary SQL commands via ...

CVE-2024-30929HIGH8.0ten sam produkt

Cross Site Scripting vulnerability in DerbyNet v9.0 and below allows attackers to execute arbitrary code via t...