W komponencie Queuing Service produktu RTI Connext Professional wykryto krytyczną podatność typu SQL Injection (CWE-89), umożliwiającą nieuwierzytelnionemu atakującemu manipulację bazą danych poprzez sieć. Ocena CVSS 9.1 wskazuje na wysokie ryzyko naruszenia poufności i integralności danych.
▸ Pokaż oryginał (EN)
Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in RTI Connext Professional (Queuing Service) allows SQL Injection.This issue affects Connext Professional: from 7.0.0 before 7.3.0, from 6.1.0 before 6.1.2.17, from 6.0.0 before 6.0.*, from 5.2.0 before 5.3.*.
Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w zapytaniach SQL w komponencie Queuing Service. Atakujący zdalnie, bez uwierzytelnienia, może wstrzyknąć złośliwe polecenia SQL do zapytań kierowanych do bazy danych. Wymaga to spełnienia pewnych warunków technicznych po stronie środowiska (AT:P w wektorze CVSS), jednak nie wymaga żadnej interakcji ze strony użytkownika.
Skuteczny atak pozwala na nieuprawniony odczyt oraz modyfikację danych przechowywanych w bazie danych systemu RTI Connext Professional. Może to prowadzić do wycieku wrażliwych informacji oraz naruszenia integralności danych przetwarzanych przez system.
Należy zaktualizować RTI Connext Professional do wersji 7.3.0 lub nowszej (dla gałęzi 7.x) albo do wersji 6.1.2.17 lub nowszej (dla gałęzi 6.1.x). Użytkownicy gałęzi 6.0.x oraz 5.2.x powinni skonsultować się z producentem i zastosować patche dostępne zgodnie z referencjami pod adresem https://www.rti.com/vulnerabilities/#cve-2024-52057. Zaleca się ograniczenie sieciowego dostępu do Queuing Service wyłącznie do zaufanych hostów jako środek tymczasowy.
RTI Connext Professional w wersjach: od 7.0.0 przed 7.3.0, od 6.1.0 przed 6.1.2.17, od 6.0.0 przed 6.0.* (wszystkie wersje gałęzi 6.0.x), od 5.2.0 przed 5.3.* (wszystkie wersje gałęzi 5.2.x).
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XRti Connext Professional
APPRti5.2.0 – 6.1.2.17 (bez)7.0.0 – 7.3.0 (bez)
Powiązane podatności
Improper Restriction of XML External Entity Reference vulnerability in Connext Professional (Core Libraries) a...
Improper Restriction of XML External Entity Reference vulnerability in RTI Connext Professional (Routing Servi...
Exposure of Private Personal Information to an Unauthorized Actor vulnerability in RTI Connext Professional (C...
Untrusted Pointer Dereference vulnerability in RTI Connext Professional (Core Libraries) allows Pointer Manipu...
Untrusted Pointer Dereference vulnerability in RTI Connext Professional (Core Libraries) allows Pointer Manipu...