CRITICAL🇬🇧 English

CVE-2024-5958

SQL Injection umożliwiający wykonanie poleceń w Eliz Software Panel

CVSS 9.4v4.0pub. 2024-09-18upd. 2026-06-03

Podatność typu SQL Injection w produkcie Eliz Software Panel umożliwia uwierzytelnionemu atakującemu wykonanie poleceń systemowych poprzez wstrzykiwanie złośliwych zapytań SQL. Krytyczny poziom zagrożenia wynika z możliwości przejęcia kontroli nad systemem bez konieczności posiadania wysokich uprawnień.

Pokaż oryginał (EN)

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Eliz Software Panel allows Command Line Execution through SQL Injection. This issue affects Panel: before v2.3.24.

🤖 Analiza AI
Jak działa

Aplikacja Eliz Software Panel nieprawidłowo neutralizuje znaki specjalne w danych wejściowych przekazywanych do zapytań SQL, co skutkuje klasyczną podatnością SQL Injection (CWE-89). Atakujący z podstawowym dostępem do systemu (PR:L) może spreparować złośliwe zapytanie SQL, które zostanie wykonane przez silnik bazy danych. Luka umożliwia eskalację ataku poprzez mechanizm wykonania poleceń systemowych bezpośrednio przez silnik SQL (Command Line Execution through SQL Injection).

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem, w tym odczytywać, modyfikować i usuwać dane, a także wykonywać dowolne polecenia systemowe na serwerze. Ze względu na wysoki wpływ na poufność, integralność i dostępność zarówno systemu docelowego, jak i systemów powiązanych, naruszenie może prowadzić do całkowitego przejęcia infrastruktury.

Mitygacja

Należy niezwłocznie zaktualizować Eliz Software Panel do wersji v2.3.24 lub nowszej. Szczegółowe informacje dostępne są w referencjach producenta oraz komunikacie USOM pod numerem TR-24-1497.

Kogo dotyczy

Eliz Software Panel w wersjach wcześniejszych niż v2.3.24.

Uwagi

Podatność została zgłoszona przez turecką jednostkę ds. cyberbezpieczeństwa USOM (Ulusal Siber Olaylara Müdahale Merkezi) w komunikacie TR-24-1497.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Elizsoftware Panel

    APP
    Elizsoftware
    < 2.3.24
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2024-5959CRITICAL9.3PL ✓ten sam produkt

Stored XSS w Eliz Software Panel — wstrzyknięcie skryptu po stronie serwera

CVE-2024-5960CRITICAL9.8PL ✓ten sam produkt

Przechowywanie haseł w postaci jawnej w Elizsoftware Panel

CVE-2024-6877CRITICAL9.4PL ✓ten sam produkt

Reflected XSS w Eliz Software Panel przed wersją v2.3.24

CVE-2024-5958 — SQL Injection umożliwiający wykonanie poleceń w Eliz Software Panel — CRITICAL 9.4 | CVEbaza.pl