Podatność typu SQL Injection w aplikacji DerbyNet w wersji 9.0 i wcześniejszych umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Ze względu na brak wymogu uwierzytelnienia i pełny zakres wpływu na poufność, integralność i dostępność systemu, podatność oceniono jako krytyczną (CVSS 9.8).
▸ Pokaż oryginał (EN)
SQL Injection vulnerability in DerbyNet v9.0 and below allows a remote attacker to execute arbitrary code via the where Clause in Racer Document Rendering
Podatność występuje w mechanizmie renderowania dokumentów zawodnika (Racer Document Rendering), gdzie aplikacja nie waliduje poprawnie danych wejściowych przekazywanych w klauzuli WHERE zapytania SQL. Atakujący może spreparować złośliwe żądanie sieciowe zawierające odpowiednio skonstruowany payload SQL, który zostanie wykonany bezpośrednio przez silnik bazy danych. Poprzez nadużycie mechanizmów bazy danych możliwe jest dalsze wykonanie dowolnego kodu (RCE) na podatnym systemie.
Atakujący może uzyskać pełną kontrolę nad bazą danych aplikacji, a w konsekwencji wykonać dowolny kod na serwerze, co prowadzi do kompromitacji poufności, integralności oraz dostępności całego systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako dodatkowe środki zaradcze zaleca się ograniczenie dostępu do aplikacji wyłącznie do zaufanych sieci oraz zastosowanie reguł WAF blokujących próby SQL Injection.
DerbyNet w wersji 9.0 oraz wszystkich wcześniejszych wersjach.
Szczegółowy opis techniczny podatności wraz z dowodem słuszności (proof-of-concept) został opublikowany przez badacza na stronie chocapikk.com oraz w liście full-disclosure (seclists.org, kwiecień 2024), co zwiększa ryzyko wykorzystania podatności przez atakujących.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDerbynet
APPDerbynet≤ 9.0
Powiązane podatności
SQL Injection w DerbyNet v9.0 — zdalne wykonanie kodu przez klauzulę WHERE
Path Traversal z RCE w DerbyNet v.9.0 — komponent kiosk.php
Cross Site Scripting vulnerability in DerbyNet v9.0 and below allows a remote attacker to execute arbitrary co...
SQL Injection vulnerability in DerbyNet v9.0 and below allows attackers to execute arbitrary SQL commands via ...
Cross Site Scripting vulnerability in DerbyNet v9.0 and below allows attackers to execute arbitrary code via t...