ГлавнаяБаза уязвимостей БДУ → BDU:2022-04187
10критическая

BDU:2022-04187

Уязвимость компонента ManagedIT.asmx плагина ConnectWise ManagedITSync платформы управления IT-инфраструктурой Kaseya VSA, позволяющая нарушителю выполнить произвольные SQL-команды
Опубликовано: 2022-07-06
Описание

Уязвимость компонента ManagedIT.asmx платформы управления бизнесом ConnectWise ManagedITSync связана с отсутствием проверки достоверности последовательностей XML-объетов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные SQL-команды через веб-интерфейс Kaseya VSA

Затрагиваемое ПО и версии
ConnectWise ManagedITSync (до 2017 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- удалить плагин ConnectWise ManagedITSync;
- использование средств антивирусной защиты;
- контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений.

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://webcache.googleusercontent.com/search?q=cache:ZEo8ZRF_iEIJ:https://helpdesk.kaseya.com/hc/en-gb/articles/360022495572-Connectwise-API-Vulnerability+https://github.com/kbni/owlkyhttp://archive.today/rdkeQhttps://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена