Inicio / Alerta Temprana / Avisos Seguridad / Inyección SQL en Wave EMBASSY Remote Administration Server

Inyección SQL en Wave EMBASSY Remote Administration Server

Fecha de publicación: 
15/07/2013
Importancia: 
4 - Alta
Recursos afectados: 
Wave EMBASSY Remote Administration Server
Descripción: 
The Wave EMBASSY Remote Administration Server (ERAS) que contiene la aplicación ERAS Help Desk falla al filtrar la entrada del usuario permitiendo así la explotación de vulnerabilidades de inyección SQL.
Solución: 

Actualmente no existe ningún parche ni actualización para solucionar dichas vulnerabilidades

Detalle: 

La aplicación ERAS Help Desk contiene vulnerabilidades de tipo blind SQL injection en el parámetro ct100$4MainController$TextBoxSearchValue o en el cuadro de búsqueda. Además permitiría la ejecución de comandos en el servidor objetivo. Dichas vulnerabilidades requieren que el atacante esté autenticado en la aplicación.

IMPACTO: Un atacante remoto podría ejecutar consultas SQL en el servidor, posiblemente con privilegios elevados. Como resultado, los atacantes pueden ser capaces de ver o modificar el contenido de la base de datos. Además, un atacante podría ejecutar comandos del sistema operativo en el servidor, lo que podría permitirles tomar el control del mismo.