CRITICAL✓ PATCH🇬🇧 English

CVE-2024-11773

SQL injection w konsoli administracyjnej Ivanti CSA — zdalne wykonanie zapytań SQL

CVSS 9.1v3.1pub. 2024-12-10upd. 2025-01-17

Podatność SQL injection w panelu administracyjnym Ivanti Cloud Services Appliance (CSA) przed wersją 5.0.3 umożliwia uwierzytelnionemu atakującemu z uprawnieniami administratora wykonanie dowolnych zapytań SQL. Pomimo wymogu posiadania konta administratora, ocena CVSS 9.1 (CRITICAL) wynika z pełnego zakresu potencjalnych skutków — kompromitacji poufności, integralności i dostępności danych.

Pokaż oryginał (EN)

SQL injection in the admin web console of Ivanti CSA before version 5.0.3 allows a remote authenticated attacker with admin privileges to run arbitrary SQL statements.

🤖 Analiza AI
Jak działa

Atakujący z dostępem do konsoli administracyjnej może wstrzyknąć złośliwy kod SQL do podatnych pól interfejsu webowego. Aplikacja nie filtruje prawidłowo danych wejściowych przed przekazaniem ich do silnika bazy danych, co pozwala na konstruowanie i wykonywanie arbitralnych zapytań SQL. Dzięki temu możliwe jest odczytywanie, modyfikowanie lub usuwanie danych przechowywanych w bazie, a potencjalnie również wykonywanie operacji systemowych zależnych od konfiguracji serwera bazy danych.

Skutki

Atakujący może odczytywać, modyfikować lub usuwać dowolne dane w bazie danych aplikacji, co prowadzi do pełnej kompromitacji poufności i integralności systemu. W zależności od konfiguracji środowiska możliwe jest również zakłócenie dostępności usługi.

Mitygacja

Należy zaktualizować Ivanti Cloud Services Appliance do wersji 5.0.3 lub nowszej zgodnie z zaleceniami producenta opublikowanymi w security advisory Ivanti.

Kogo dotyczy

Ivanti Cloud Services Appliance (CSA) we wszystkich wersjach przed 5.0.3

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Ivanti Cloud Services Appliance

    APP
    Ivanti
    < 5.0.3
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2024-47908CRITICAL9.1PL ✓ten sam produkt

OS command injection w Ivanti CSA — RCE dla admina

CVE-2024-11639CRITICAL10.0PL ✓ten sam produkt

Authentication bypass w panelu admina Ivanti CSA — pełny dostęp bez logowania

CVE-2024-11772CRITICAL9.1PL ✓ten sam produkt

Command injection w konsoli administracyjnej Ivanti CSA umożliwia RCE

CVE-2024-8190HIGH7.2⚠ KEVten sam produkt

An OS command injection vulnerability in Ivanti Cloud Services Appliance versions 4.6 Patch 518 and before all...

CVE-2025-22460HIGH7.8ten sam produkt

Default credentials in Ivanti Cloud Services Application before version 5.0.5 allows a local authenticated att...