प्लेटफ़ॉर्म
other
घटक
sat-cfdi
में ठीक किया गया
3.3.1
CVE-2018-25202, SAT CFDI 3.3 में एक SQL इंजेक्शन भेद्यता है। यह हमलावरों को 'id' पैरामीटर के माध्यम से SQL कोड इंजेक्ट करके डेटाबेस क्वेरी में हेरफेर करने की अनुमति देता है। इससे संवेदनशील डेटा का खुलासा हो सकता है या एप्लिकेशन से समझौता किया जा सकता है। यह भेद्यता SAT CFDI के 3.3 संस्करण को प्रभावित करती है। कोई आधिकारिक पैच अभी तक उपलब्ध नहीं है।
CVE-2018-25202 SAT CFDI 3.3 में 'signIn' एंडपॉइंट में एक SQL इंजेक्शन भेद्यता के कारण एक महत्वपूर्ण जोखिम पैदा करता है। यह दोष हमलावरों को 'id' पैरामीटर के माध्यम से दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देता है, जिससे संभावित रूप से डेटाबेस की गोपनीयता और अखंडता से समझौता हो सकता है। हमलावर उपयोगकर्ता क्रेडेंशियल्स, वित्तीय डेटा या डेटाबेस में संग्रहीत किसी भी अन्य संवेदनशील जानकारी को निकालने के लिए ब्लाइंड SQL इंजेक्शन तकनीकों (बूलियन-आधारित, स्टैक क्वेरी या टाइम-आधारित ब्लाइंड SQL इंजेक्शन) का उपयोग कर सकते हैं। कोई फिक्स उपलब्ध न होने से स्थिति और खराब हो जाती है, जिससे सिस्टम हमलों के प्रति संवेदनशील हो जाते हैं। सफल शोषण से डेटा हानि, रिकॉर्ड हेरफेर और अनधिकृत सिस्टम एक्सेस हो सकता है।
यह भेद्यता SAT CFDI 3.3 के 'signIn' एंडपॉइंट में मौजूद है और 'id' पैरामीटर के माध्यम से इसका शोषण किया जाता है। हमलावर ब्लाइंड SQL इंजेक्शन तकनीकों (बूलियन-आधारित, स्टैक क्वेरी या टाइम-आधारित ब्लाइंड SQL इंजेक्शन) का उपयोग करते हुए SQL इंजेक्शन पेलोड के साथ POST अनुरोध भेज सकते हैं। 'id' इनपुट के लिए उचित सत्यापन की कमी से हमलावरों को अंतर्निहित SQL क्वेरी में हेरफेर करने की अनुमति मिलती है। शोषण की सफलता डेटाबेस कॉन्फ़िगरेशन और एप्लिकेशन उपयोगकर्ता अनुमतियों पर निर्भर करती है। ब्लाइंड SQL इंजेक्शन तकनीकों के कारण यह भेद्यता विशेष रूप से चिंताजनक है, क्योंकि यह हमलावरों को डेटाबेस की आंतरिक संरचना को जाने बिना संवेदनशील जानकारी निकालने की अनुमति देता है।
Organizations utilizing SAT CFDI version 3.3, particularly those with sensitive data stored within the application's database, are at risk. Shared hosting environments where multiple users share the same SAT CFDI instance are also particularly vulnerable, as a compromise of one user's account could potentially lead to the compromise of the entire system.
• linux / server:
journalctl -u satcfdi -g "SQL injection"• generic web:
curl -X POST -d "id='; DROP TABLE users;--" https://<satcfdi_server>/signIn | grep -i "error"• database (mysql):
mysql -u <user> -p -e "SHOW GRANTS FOR '<user>'@'%'"disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि CVE-2018-25202 के लिए कोई आधिकारिक फिक्स नहीं है, इसलिए SAT CFDI 3.3 का उपयोग करने वाले संगठनों को तत्काल शमन उपाय लागू करने चाहिए। इन उपायों में सभी उपयोगकर्ता इनपुट, विशेष रूप से 'signIn' एंडपॉइंट में 'id' पैरामीटर का सख्त सत्यापन और सैनिटाइजेशन शामिल है। यदि उपलब्ध हो तो SAT CFDI के पैच किए गए संस्करण में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने से SQL इंजेक्शन हमलों को रोकने में मदद मिल सकती है। संभावित शोषण प्रयासों का पता लगाने और उनका जवाब देने के लिए सिस्टम लॉग की सक्रिय रूप से निगरानी करना महत्वपूर्ण है। नियमित सुरक्षा ऑडिट और प्रवेश परीक्षण अन्य कमजोरियों की पहचान करने और उन्हें संबोधित करने में भी मदद कर सकते हैं।
Actualizar a una versión parcheada del software SAT CFDI 3.3 que solucione la vulnerabilidad de inyección SQL. Contactar al proveedor (Wecodex) para obtener la versión actualizada o seguir sus recomendaciones de seguridad.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक सुरक्षा हमला है जो हमलावरों को डेटाबेस तक पहुंचने या उसे हेरफेर करने के लिए एप्लिकेशन में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देता है।
यह हमलावरों को संवेदनशील जानकारी चुराने, डेटा को संशोधित करने और संभावित रूप से सिस्टम को नियंत्रित करने की अनुमति देता है।
वर्णन किए गए शमन उपायों को लागू करें, जैसे कि इनपुट सत्यापन और लॉग निगरानी। SAT CFDI के अपडेट किए गए संस्करण की तलाश करें।
ऐसे भेद्यता स्कैनिंग उपकरण और प्रवेश परीक्षण उपकरण हैं जो SQL इंजेक्शन की पहचान करने में मदद कर सकते हैं।
यह एक ऐसी तकनीक है जो हमलावरों को सीधे प्रतिक्रिया प्राप्त किए बिना डेटाबेस से जानकारी निकालने की अनुमति देती है, बूलियन शर्तों का मूल्यांकन करने या समय-आधारित देरी पेश करने वाले क्वेरी का उपयोग करती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।