Platform
other
Component
avaya-control-manager
Opgelost in
8.0.1
7.0.1
CVE-2019-7003 beschrijft een SQL Injection kwetsbaarheid in de rapportagecomponent van Avaya Control Manager. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om willekeurige SQL commando's uit te voeren en gevoelige data te verkrijgen, mogelijk gerelateerd aan andere gebruikers. De kwetsbaarheid treft Avaya Control Manager versies 7.x en 8.0.x vóór 8.0.4.0. Een upgrade naar versie 8.0.4.0 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van CVE-2019-7003 kan leiden tot ernstige gevolgen. Een aanvaller kan gevoelige data zoals gebruikersnamen, wachtwoorden, en andere configuratiegegevens extraheren uit de database. Daarnaast kan de aanvaller de database manipuleren, waardoor de integriteit van de data in gevaar komt. De mogelijkheid om willekeurige SQL commando’s uit te voeren, opent de deur naar verdere acties, zoals het verkrijgen van root-toegang tot het systeem of het uitvoeren van denial-of-service aanvallen. Hoewel er geen directe rapporten zijn van actieve exploitatie, is de kritieke CVSS score van 9.3 een indicatie van de ernst van de kwetsbaarheid en de potentiële impact op organisaties die Avaya Control Manager gebruiken.
CVE-2019-7003 werd publiekelijk bekendgemaakt op 11 juli 2019. Er zijn geen bekende actieve campagnes of publieke exploits gemeld op het moment van schrijven. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de ernst ervan benadrukt. De lage complexiteit van de SQL Injection maakt het relatief eenvoudig te exploiteren, wat het risico vergroot dat deze kwetsbaarheid in de toekomst wordt misbruikt.
Organizations utilizing Avaya Control Manager in environments with direct external access to the reporting component are at significant risk. Specifically, deployments with weak network segmentation or inadequate input validation are particularly vulnerable. Shared hosting environments where multiple customers share the same Avaya Control Manager instance also face increased exposure.
• linux / server:
journalctl -u avaya-control-manager -g 'SQL injection' | grep -i error• generic web:
curl -I <avaya_control_manager_reporting_endpoint> | grep SQL• database (mysql):
SELECT user, password FROM mysql.user WHERE user LIKE '%admin%';disclosure
Exploit Status
EPSS
0.63% (70% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2019-7003 is het upgraden van Avaya Control Manager naar versie 8.0.4.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan om de rapportagecomponent tijdelijk uit te schakelen om het aanvalsoppervlak te verkleinen. Implementeer een Web Application Firewall (WAF) met regels die SQL Injection pogingen detecteren en blokkeren. Controleer de configuratie van Avaya Control Manager om ervoor te zorgen dat de database toegang beperkt is tot geautoriseerde gebruikers en applicaties. Na de upgrade, verifieer de fix door te proberen de kwetsbare endpoint te exploiteren en te controleren of de poging wordt geblokkeerd.
Werk Avaya Control Manager bij naar versie 8.0.4.0 of hoger. Dit corrigeert de (SQL Injection) kwetsbaarheid in de rapportagecomponent.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2019-7003 is a critical SQL injection vulnerability affecting Avaya Control Manager versions 7.0–8.0.x prior to 8.0.4.0, allowing attackers to execute SQL commands.
If you are running Avaya Control Manager versions 7.0 through 8.0.x before 8.0.4.0, you are potentially affected by this vulnerability.
Upgrade Avaya Control Manager to version 8.0.4.0 or later to remediate the vulnerability. Implement temporary workarounds if immediate upgrading is not possible.
Public proof-of-concept exploits are available, indicating a moderate risk of exploitation.
Refer to the Avaya Security Advisory for details: [https://www.avaya.com/support/knowledge-base/article/CVE-2019-7003](https://www.avaya.com/support/knowledge-base/article/CVE-2019-7003)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.