Plataforma
other
Componente
sat-cfdi
Corrigido em
3.3.1
CVE-2018-25202 descreve uma vulnerabilidade de SQL Injection presente no componente SAT CFDI versão 3.3. Essa falha permite que atacantes manipulem consultas ao banco de dados através da injeção de código SQL no parâmetro 'id' do endpoint signIn. A exploração bem-sucedida pode levar à extração de dados sensíveis ou comprometer a aplicação. Não há correção oficial disponível para esta vulnerabilidade.
A vulnerabilidade CVE-2018-25202 no SAT CFDI 3.3 representa um risco significativo devido a uma injeção SQL no endpoint 'signIn'. Essa falha permite que atacantes injetem código SQL malicioso através do parâmetro 'id', comprometendo potencialmente a integridade e a confidencialidade do banco de dados. Os atacantes podem empregar técnicas de injeção SQL cega (baseadas em booleanos, consultas empilhadas ou injeção SQL cega baseada em tempo) para extrair informações sensíveis, como credenciais de usuário, dados financeiros ou qualquer outra informação armazenada no banco de dados. A falta de uma solução (fix) disponível agrava a situação, deixando os sistemas vulneráveis a ataques. A exploração bem-sucedida pode resultar em perda de dados, manipulação de registros e acesso não autorizado ao sistema.
A vulnerabilidade se encontra no endpoint 'signIn' do SAT CFDI 3.3 e é explorada através do parâmetro 'id'. Os atacantes podem enviar solicitações POST com payloads de injeção SQL, utilizando técnicas como injeção SQL cega (baseadas em booleanos, consultas empilhadas ou baseada em tempo). A falta de validação adequada da entrada 'id' permite que os atacantes manipulem as consultas SQL subjacentes. O sucesso da exploração depende da configuração do banco de dados e das permissões do usuário do aplicativo. A vulnerabilidade é particularmente preocupante porque permite que os atacantes extraiam informações sensíveis sem a necessidade de conhecer a estrutura interna do banco de dados, graças às técnicas de injeção SQL cega.
Organizations utilizing SAT CFDI version 3.3, particularly those with sensitive data stored within the application's database, are at risk. Shared hosting environments where multiple users share the same SAT CFDI instance are also particularly vulnerable, as a compromise of one user's account could potentially lead to the compromise of the entire system.
• linux / server:
journalctl -u satcfdi -g "SQL injection"• generic web:
curl -X POST -d "id='; DROP TABLE users;--" https://<satcfdi_server>/signIn | grep -i "error"• database (mysql):
mysql -u <user> -p -e "SHOW GRANTS FOR '<user>'@'%'"disclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
Dado que não existe uma solução oficial (fix) para CVE-2018-25202, as organizações que utilizam SAT CFDI 3.3 devem implementar medidas de mitigação urgentes. Essas medidas incluem a validação e sanitização rigorosas de todas as entradas de usuário, especialmente o parâmetro 'id' no endpoint 'signIn'. Recomenda-se fortemente atualizar para uma versão corrigida de SAT CFDI, se estiver disponível. Além disso, implementar um firewall de aplicativos web (WAF) pode ajudar a bloquear ataques de injeção SQL. Monitorar ativamente os registros do sistema em busca de atividade suspeita é crucial para detectar e responder a possíveis tentativas de exploração. Realizar auditorias de segurança periódicas e testes de penetração também pode ajudar a identificar e abordar outras vulnerabilidades.
Actualizar a una versión parcheada del software SAT CFDI 3.3 que solucione la vulnerabilidad de inyección SQL. Contactar al proveedor (Wecodex) para obtener la versión actualizada o seguir sus recomendaciones de seguridad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção SQL é um ataque de segurança que permite que atacantes insiram código SQL malicioso em um aplicativo para acessar ou manipular o banco de dados.
Permite que atacantes roubem informações sensíveis, modifiquem dados e, potencialmente, assumam o controle do sistema.
Implemente as medidas de mitigação descritas, como a validação de entradas e o monitoramento de registros. Procure uma versão atualizada de SAT CFDI.
Existem ferramentas de varredura de vulnerabilidades e testes de penetração que podem ajudar a identificar a injeção SQL.
É uma técnica que permite que os atacantes extraiam informações do banco de dados sem receber respostas diretas, utilizando consultas que avaliam condições booleanas ou introduzem atrasos baseados no tempo.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.