CRITICAL🇬🇧 English

CVE-2024-38889

SQL Injection w Horizoncloud Caterease — zdalne wykonanie zapytań

CVSS 9.8v3.1pub. 2024-08-02upd. 2026-07-05

Oprogramowanie Caterease firmy Horizon Business Services zawiera podatność SQL Injection umożliwiającą zdalnemu atakującemu wykonanie dowolnych poleceń SQL bez uwierzytelnienia. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co oznacza bezpośrednie zagrożenie dla poufności, integralności i dostępności danych.

Pokaż oryginał (EN)

An issue in Horizon Business Services Inc. Caterease 16.0.1.1663 through 24.0.1.2405 and possibly later versions, allows a remote attacker to perform SQL Injection due to improper neutralization of special elements used in an SQL command.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w poleceniach SQL (CWE-89) oraz w poleceniach systemowych (CWE-78). Atakujący zdalnie, bez konieczności uwierzytelnienia, może wstrzyknąć złośliwe dane wejściowe do zapytań SQL obsługiwanych przez aplikację. Wektor ataku sieciowy przy niskiej złożoności (AV:N/AC:L/PR:N/UI:N) oznacza, że exploit może zostać przeprowadzony przez dowolnego nieuwierzytelnionego użytkownika sieci.

Skutki

Atakujący może uzyskać pełny dostęp do bazy danych aplikacji (odczyt, modyfikacja, usuwanie danych), a w połączeniu z podatnością command injection potencjalnie przejąć kontrolę nad systemem operacyjnym serwera. Skutki obejmują utratę poufności, integralności i dostępności danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środki tymczasowe zaleca się ograniczenie dostępu sieciowego do aplikacji Caterease wyłącznie do zaufanych adresów IP oraz wdrożenie firewalla aplikacyjnego (WAF) filtrującego złośliwe zapytania SQL.

Kogo dotyczy

Horizon Business Services Inc. Caterease w wersjach od 16.0.1.1663 do 24.0.1.2405 oraz potencjalnie wersje późniejsze.

Uwagi

Szczegóły techniczne dotyczące podatności, w tym proof-of-concept, zostały opublikowane w serwisie Packet Storm Security (https://packetstormsecurity.com/files/179892/Caterease-Software-SQL-Injection-Command-Injection-Bypass.html), co zwiększa ryzyko wykorzystania podatności przez atakujących.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Horizoncloud Caterease

    APP
    Horizoncloud
    16.0.1.1663 – 24.0.1.2405
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLiCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2024-38883CRITICAL9.1PL ✓ten sam produkt

Caterease: obniżenie poziomu szyfrowania przez wybór słabszego algorytmu

CVE-2024-38886CRITICAL9.8PL ✓ten sam produkt

Traffic Injection w Horizoncloud Caterease – brak weryfikacji źródła komunikacji

CVE-2024-38887CRITICAL9.8PL ✓ten sam produkt

Command Injection w Horizoncloud Caterease — zdalne przejęcie systemu OS

CVE-2024-38882CRITICAL9.8PL ✓ten sam produkt

SQL Injection umożliwiający command injection w Horizoncloud Caterease

CVE-2024-38891HIGH7.5ten sam produkt

An issue in Horizon Business Services Inc. Caterease 16.0.1.1663 through 24.0.1.2405 and possibly later versio...

CVE-2024-38889 — SQL Injection w Horizoncloud Caterease — zdalne wykonanie zapytań — CRITICAL 9.8 | CVEbaza.pl