ГлавнаяБаза уязвимостей БДУ → BDU:2024-01962
10критическая

BDU:2024-01962

Уязвимость метода setTermsHashAction компонента /opt/webapp/lib/PureApi/CCApi.class.php DLP-системы GTB Central Console, позволяющая нарушителю выполнять произвольные SQL-запросы
Опубликовано: 2024-03-14
Описание

Уязвимость метода setTermsHashAction компонента /opt/webapp/lib/PureApi/CCApi.class.php DLP-системы GTB Central Console связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные SQL-запросы через /ccapi.php

Затрагиваемое ПО и версии
GTB Central Console (до 15.17.1-30814.NG включительно)
Способ устранения

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности обращений к серверу базы данных;
- удаление/отключение неиспользуемых учетных записей пользователей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://adepts.of0x.cc/gtbcc-pwned/https://x-c3ll.github.io/cves.htmlhttps://www.nopsec.com/blog/top-trending-cves-of-february-2024/https://vuldb.com/ru/?id.252724
Проверьте безопасность своего сайта и почты → Полная проверка домена