Thứ Sáu tuần trước, công ty bảo mật SonicWall đã phát hành các bản vá để khắc phục lỗ hổng SQL injection (SQLi) nghiêm trọng ảnh hưởng đến các sản phẩm Analytics On-Prem và Global Management System (GMS) của họ.
Lỗ hổng có định danh CVE-2022-22280 (điểm CVSS;9,4 trên 10), phát sinh do thiếu kiểm tra, sàng lọc dữ liệu đầu vào được sử dụng trong câu lệnh SQL, cho phép tin tặc thực hiện SQL injection mà không cần xác thực.
H4lo và Catalpa của DBappSecurity HAT Lab được ghi nhận là đã phát hiện và báo cáo lỗ hổng.
MITER lưu ý trong phần mô tả về SQL injection: "Nếu không có biện pháp kiểm tra, xử lý thích hợp đối với các đầu vào do người dùng kiểm soát, truy vấn SQL được tạo có thể khiến các đầu vào được hiểu như câu truy vấn SQL thay vì dữ liệu người dùng thông thường".
"Điều này có thể được sử dụng để thay đổi logic truy vấn và vượt qua kiểm tra bảo mật hoặc thực hiện các lệnh sửa đổi cơ sở dữ liệu back-end, có thể bao gồm cả việc thực thi các lệnh hệ thống".
Lỗ hổng ảnh hưởng đến các phiên bản Analytics On-Prem từ 2.5.0.3-2520 trở về trước và các phiên bản GMS từ 9.3.1-SP2-Hotfix1 trở về trước.
Người dùng nên nâng cấp lên Analytics 2.5.0.3-2520-Hotfix1 và GMS 9.3.1-SP2-Hotfix-2 để giảm thiểu các nguy cơ bị khai thác tấn công.
SonicWall cho biết: “Không có giải pháp thay thế cho lỗ hổng này. Tuy nhiên, có thể làm giảm đáng kể khả năng bị khai thác bằng cách sử dụng Tường lửa ứng dụng web (Web Application Firewall) để ngăn chặn các tấn công SQLi".
Nguồn: thehackernews.com.
Tín nhiệm mạng | Trang web nuôi thú ảo Neopets đã bị xâm phạm dẫn đến việc lộ mã nguồn và cơ sở dữ liệu chứa thông tin cá nhân của hơn 69 triệu thành viên.
Tín nhiệm mạng | Atlassian đã phát hành các bản vá bảo mật để khắc phục lỗ hổng nghiêm trọng ảnh hưởng đến ứng dụng Questions For Confluence trong Confluence Server và Confluence Data Center.
Tín nhiệm mạng | Google đã chính thức công bố hỗ trợ DNS-over-HTTP/3 (DoH3) cho các thiết bị Android như một phần của bản cập nhật hệ thống Google Play để giữ các truy vấn DNS ở chế độ bí mật.
Tín nhiệm mạng | Cục Điều tra Liên bang Mỹ (FBI) đã cảnh báo về việc tội phạm mạng đang sử dụng các ứng dụng tiền điện tử giả mạo để lừa gạt các nhà đầu tư tài sản ảo.
Tín nhiệm mạng | Google đã phát hiện và loại bỏ hàng chục ứng dụng độc hại có trên Play Store đang phát tán mã độc Joker, Facestealer và Coper.
Tín nhiệm mạng | Sau khi ra mắt tính năng Data safety mới cho ứng dụng Android trên Play Store, Google dường như đã dự định xóa App Permissions khỏi cả ứng dụng dành cho thiết bị di động và web.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
