CRITICAL🇬🇧 English

CVE-2024-30922

SQL Injection w DerbyNet v9.0 — zdalne wykonanie kodu przez klauzulę WHERE

CVSS 9.8v3.1pub. 2024-04-18upd. 2025-11-04

Podatność SQL Injection w DerbyNet v9.0 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Luka jest krytyczna ze względu na brak wymagań co do uprawnień i możliwość pełnego przejęcia systemu.

Pokaż oryginał (EN)

SQL Injection vulnerability in DerbyNet v9.0 allows a remote attacker to execute arbitrary code via the where Clause in Award Document Rendering.

🤖 Analiza AI
Jak działa

Atakujący może wstrzyknąć złośliwy kod SQL poprzez klauzulę WHERE wykorzystywaną podczas renderowania dokumentów nagród (Award Document Rendering). Nieprawidłowa walidacja lub brak odpowiedniej sanityzacji danych wejściowych pozwala na manipulację zapytaniami bazodanowymi. Poprzez odpowiednio spreparowane zapytanie możliwe jest wykonanie arbitrary code na serwerze.

Skutki

Atakujący może uzyskać pełny dostęp do bazy danych (odczyt, modyfikacja, usuwanie danych) oraz wykonać dowolny kod na serwerze, co może prowadzić do całkowitego przejęcia systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również wdrożenie walidacji i sanityzacji danych wejściowych oraz rozważenie stosowania zapytań parametryzowanych (prepared statements) jako doraźnego zabezpieczenia.

Kogo dotyczy

DerbyNet v9.0

Uwagi

Szczegółowy opis podatności dostępny jest w publikacji badacza pod adresem https://chocapikk.com/posts/2024/derbynet-vulnerabilities/ oraz w liście Full Disclosure (kwiecień 2024).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Derbynet

    APP
    Derbynet
    ≤ 9.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCESQLi
CWE
Referencje

Powiązane podatności

CVE-2024-30923CRITICAL9.8PL ✓ten sam produkt

SQL Injection z możliwością RCE w DerbyNet v9.0 i wcześniejszych

CVE-2024-31818CRITICAL9.8PL ✓ten sam produkt

Path Traversal z RCE w DerbyNet v.9.0 — komponent kiosk.php

CVE-2024-30920HIGH7.4ten sam produkt

Cross Site Scripting vulnerability in DerbyNet v9.0 and below allows a remote attacker to execute arbitrary co...

CVE-2024-30928HIGH8.1ten sam produkt

SQL Injection vulnerability in DerbyNet v9.0 and below allows attackers to execute arbitrary SQL commands via ...

CVE-2024-30929HIGH8.0ten sam produkt

Cross Site Scripting vulnerability in DerbyNet v9.0 and below allows attackers to execute arbitrary code via t...