Plataforma
other
Componente
avaya-control-manager
Corrigido em
8.0.1
7.0.1
Uma vulnerabilidade de injeção SQL foi descoberta no componente de relatórios do Avaya Control Manager. Esta falha permite que um atacante não autenticado execute comandos SQL arbitrários, potencialmente expondo dados confidenciais de outros usuários do sistema. As versões afetadas incluem o Avaya Control Manager 7.x e 8.0.x anteriores à versão 8.0.4.0. A correção foi disponibilizada na versão 8.0.4.0.
A exploração bem-sucedida desta vulnerabilidade pode permitir que um atacante obtenha acesso não autorizado a informações sensíveis armazenadas no banco de dados do Avaya Control Manager. Isso pode incluir credenciais de usuário, dados de configuração e outros dados confidenciais. Um atacante poderia usar essas informações para obter acesso a outros sistemas na rede ou para realizar outras atividades maliciosas. Dada a natureza crítica da injeção SQL, o impacto pode ser significativo, especialmente em ambientes onde o Avaya Control Manager gerencia informações sensíveis ou controla dispositivos críticos. A ausência de autenticação necessária para explorar a vulnerabilidade aumenta ainda mais o risco, tornando-a um alvo atraente para ataques.
Esta vulnerabilidade foi divulgada publicamente em 11 de julho de 2019. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A vulnerabilidade está listada no NVD (National Vulnerability Database) e pode ser considerada de alta prioridade devido à sua gravidade (CVSS 9.3) e à facilidade potencial de exploração.
Organizations utilizing Avaya Control Manager in environments with direct external access to the reporting component are at significant risk. Specifically, deployments with weak network segmentation or inadequate input validation are particularly vulnerable. Shared hosting environments where multiple customers share the same Avaya Control Manager instance also face increased exposure.
• linux / server:
journalctl -u avaya-control-manager -g 'SQL injection' | grep -i error• generic web:
curl -I <avaya_control_manager_reporting_endpoint> | grep SQL• database (mysql):
SELECT user, password FROM mysql.user WHERE user LIKE '%admin%';disclosure
Status do Exploit
EPSS
0.63% (percentil 70%)
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o Avaya Control Manager para a versão 8.0.4.0 ou posterior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à rede ao componente de relatórios e monitorar o tráfego de rede em busca de atividades suspeitas. Implementar regras de firewall para bloquear o tráfego não autorizado para a porta do componente de relatórios também pode ajudar a reduzir o risco. Embora não seja uma solução completa, a implementação de um Web Application Firewall (WAF) com regras específicas para prevenir injeções SQL pode fornecer uma camada adicional de proteção.
Atualizar Avaya Control Manager para a versão 8.0.4.0 ou posterior. Isso corrige a vulnerabilidade de injeção SQL (SQL Injection) no componente de relatórios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2019-7003 é uma vulnerabilidade de injeção SQL no componente de relatórios do Avaya Control Manager, permitindo a execução de comandos SQL arbitrários e o acesso a dados sensíveis.
Se você estiver utilizando o Avaya Control Manager nas versões 7.0–8.0.x anteriores à 8.0.4.0, você está afetado por esta vulnerabilidade.
A correção é atualizar o Avaya Control Manager para a versão 8.0.4.0 ou posterior. Consulte a documentação da Avaya para obter instruções detalhadas.
Embora não haja evidências de exploração ativa em campanhas direcionadas, a vulnerabilidade é considerada de alta prioridade devido à sua gravidade e facilidade potencial de exploração.
Consulte o site da Avaya para obter o aviso de segurança oficial relacionado ao CVE-2019-7003. Procure por avisos de segurança relacionados ao Avaya Control Manager.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.