Plataforma
other
Componente
scan-visio-edocument-suite-web-viewer
Corregido en
3.28.2
Se ha descubierto una vulnerabilidad de inyección SQL en SCAN_VISIO eDocument Suite Web Viewer, afectando a las versiones 3.28.1 a 3.28.1. Esta falla permite a un usuario no autenticado acceder, modificar y eliminar información sensible almacenada en la base de datos. La vulnerabilidad se explota a través del parámetro 'user' en la página de inicio de sesión, comprometiendo la integridad y confidencialidad de los datos.
La inyección SQL en SCAN_VISIO eDocument Suite Web Viewer representa un riesgo crítico para la seguridad de la información. Un atacante puede explotar esta vulnerabilidad para obtener acceso completo a la base de datos, permitiéndole extraer información confidencial como nombres de usuario, contraseñas, datos financieros y documentos sensibles. Además, el atacante podría modificar o eliminar datos, causando interrupciones en el servicio y pérdida de información. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el potencial de daño, ya que cualquier usuario externo puede intentar la explotación. Esta situación es comparable a otras vulnerabilidades de inyección SQL que han resultado en brechas de datos masivas y compromisos de sistemas.
La vulnerabilidad CVE-2024-29732 fue publicada el 21 de marzo de 2024. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la inyección SQL la convierte en un objetivo atractivo para los atacantes. La falta de autenticación necesaria para la explotación aumenta la probabilidad de que sea explotada en el futuro.
Organizations utilizing SCAN_VISIO eDocument Suite Web Viewer, particularly those with sensitive data stored in the database, are at significant risk. Environments with weak input validation or inadequate security controls are especially vulnerable. Shared hosting environments where multiple users share the same database instance are also at increased risk.
• other / web: Use a web proxy or browser extension to intercept and inspect HTTP requests to the login page. Look for unusual characters or SQL keywords in the 'user' parameter.
curl -v 'http://<target>/login?user=';• generic web: Examine access and error logs for SQL errors or unusual database activity related to the login page. Search for patterns indicative of SQL Injection attempts.
grep -i 'SQL error' /var/log/apache2/error.log• generic web: Check response headers for any unusual content or error messages that might indicate a vulnerability.
curl -I 'http://<target>/login?user=';disclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar SCAN_VISIO eDocument Suite Web Viewer a la versión 3.28.2, que incluye la corrección para la inyección SQL. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la validación estricta de todas las entradas del usuario, especialmente el parámetro 'user' en la página de inicio de sesión, para prevenir la inyección de código malicioso. Además, se puede considerar la implementación de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de inyección SQL. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el parámetro 'user' ya no permite la ejecución de comandos SQL.
Actualice SCAN_VISIO eDocument Suite Web Viewer a una versión posterior a la 3.28.1, donde se haya corregido la vulnerabilidad de inyección SQL. Consulte al proveedor Abast para obtener la versión actualizada y las instrucciones de instalación. Como medida temporal, considere restringir el acceso a la página de inicio de sesión hasta que se aplique la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-29732 is a critical SQL Injection vulnerability affecting SCAN_VISIO eDocument Suite Web Viewer, allowing unauthorized access and manipulation of the database.
If you are using SCAN_VISIO eDocument Suite Web Viewer versions 3.28.1 through 3.28.1, you are potentially affected by this vulnerability.
Upgrade to version 3.28.2 or later to resolve the vulnerability. Implement input validation as a temporary workaround.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a potential for active exploitation.
Refer to the official SCAN_VISIO security advisory for detailed information and updates regarding CVE-2024-29732.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.