Novootkrivena ranjivost u softveru Veritas/Arctera Data Insight (verzije 7.1 i ranije) naglašava značajnu zabrinutost u pogledu sigurnosti, omogućavajući napadačima da izvrše proizvoljne SQL komande na pozadinskoj bazi podataka aplikacije.
Greška bi mogla dovesti do neovlaštenih radnji kao što su kreiranje, čitanje, ažuriranje ili brisanje zapisa baze podataka, potencijalno narušavajući osjetljive podatke.
Detalji ranjivosti
Ranjivost, identifikovana pod CWE-89 i kategorizovana kao SQL Injection , koristi nepravilnu neutralizaciju posebnih elemenata koji se koriste u SQL naredbama.
Problem proizlazi iz toga kako određene administrativne značajke u aplikaciji dozvoljavaju modifikaciju sintakse SQL upita. Ovo bi moglo omogućiti hakerima da manipulišu bazom podataka ako je aplikacija nepropisno osigurana.
Iako je ova ranjivost ocijenjena kao srednja ozbiljnost, sa CVSS v3.1 osnovnom ocjenom 6,5 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A :N), predstavlja značajan rizik zbog svoje sposobnosti da utiče na povjerljivost i integritet osnovnih podataka.
Trenutno, zvanični CVE ID za ovu ranjivost čeka na objavu. Međutim, ključni preduvjet za eksploataciju je da napadač već mora imati administrativne privilegije unutar aplikacije.
Ovo ograničava rizik na scenarije u kojima su napadaču ili dodijeljene ove privilegije ili je kompromitovao administrativne vjerodajnice.
Zahvaćene verzije
Ranjivost utiče na širok spektar verzija Data Insight-a, uključujući:
- 6.3, 6.3.1
- 6.4, 6.4.1
- 6.5, 6.5.1, 6.5.2
- 6.6, 6.6.1, 6.6.2
- 7.0, 7.0.1 i 7.1
Ranije nepodržane verzije takođe mogu biti pogođene, zbog čega je kritično za organizacije da procene svoje sisteme.
Kako bi se zaštitio od ove ranjivosti, Veritas je savjetovao klijente da nadograde na Data Insight verziju 7.1.1, koja rješava ovaj problem.
Organizacije bi trebale osigurati da njihovi administratori aplikacija slijede najbolje prakse za upravljanje privilegijama i da se sav softver redovno ažurira na najnovije verzije.
Ovu ranjivost identifikovao je i odgovorno otkrio istraživač Mario Tesoro. Veritas je pozvao kupce da kontaktiraju svoj tim za tehničku podršku radi dodatne pomoći ili pitanja u vezi s ovim problemom.
Izvor: CyberSecurityNews
