CRITICAL🇬🇧 English

CVE-2024-52057

SQL Injection w RTI Connext Professional (Queuing Service)

CVSS 9.1v4.0pub. 2024-12-13upd. 2025-10-02

W komponencie Queuing Service produktu RTI Connext Professional wykryto krytyczną podatność typu SQL Injection (CWE-89), umożliwiającą nieuwierzytelnionemu atakującemu manipulację bazą danych poprzez sieć. Ocena CVSS 9.1 wskazuje na wysokie ryzyko naruszenia poufności i integralności danych.

Pokaż oryginał (EN)

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in RTI Connext Professional (Queuing Service) allows SQL Injection.This issue affects Connext Professional: from 7.0.0 before 7.3.0, from 6.1.0 before 6.1.2.17, from 6.0.0 before 6.0.*, from 5.2.0 before 5.3.*.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w zapytaniach SQL w komponencie Queuing Service. Atakujący zdalnie, bez uwierzytelnienia, może wstrzyknąć złośliwe polecenia SQL do zapytań kierowanych do bazy danych. Wymaga to spełnienia pewnych warunków technicznych po stronie środowiska (AT:P w wektorze CVSS), jednak nie wymaga żadnej interakcji ze strony użytkownika.

Skutki

Skuteczny atak pozwala na nieuprawniony odczyt oraz modyfikację danych przechowywanych w bazie danych systemu RTI Connext Professional. Może to prowadzić do wycieku wrażliwych informacji oraz naruszenia integralności danych przetwarzanych przez system.

Mitygacja

Należy zaktualizować RTI Connext Professional do wersji 7.3.0 lub nowszej (dla gałęzi 7.x) albo do wersji 6.1.2.17 lub nowszej (dla gałęzi 6.1.x). Użytkownicy gałęzi 6.0.x oraz 5.2.x powinni skonsultować się z producentem i zastosować patche dostępne zgodnie z referencjami pod adresem https://www.rti.com/vulnerabilities/#cve-2024-52057. Zaleca się ograniczenie sieciowego dostępu do Queuing Service wyłącznie do zaufanych hostów jako środek tymczasowy.

Kogo dotyczy

RTI Connext Professional w wersjach: od 7.0.0 przed 7.3.0, od 6.1.0 przed 6.1.2.17, od 6.0.0 przed 6.0.* (wszystkie wersje gałęzi 6.0.x), od 5.2.0 przed 5.3.* (wszystkie wersje gałęzi 5.2.x).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Rti Connext Professional

    APP
    Rti
    5.2.0 – 6.1.2.17 (bez)7.0.0 – 7.3.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-14543HIGH8.8ten sam produkt

Improper Restriction of XML External Entity Reference vulnerability in Connext Professional (Core Libraries) a...

CVE-2026-4374HIGH8.8ten sam produkt

Improper Restriction of XML External Entity Reference vulnerability in RTI Connext Professional (Routing Servi...

CVE-2025-10450HIGH8.3ten sam produkt

Exposure of Private Personal Information to an Unauthorized Actor vulnerability in RTI Connext Professional (C...

CVE-2025-1255HIGH8.3ten sam produkt

Untrusted Pointer Dereference vulnerability in RTI Connext Professional (Core Libraries) allows Pointer Manipu...

CVE-2025-4993HIGH8.3ten sam produkt

Untrusted Pointer Dereference vulnerability in RTI Connext Professional (Core Libraries) allows Pointer Manipu...

CVE-2024-52057 — SQL Injection w RTI Connext Professional (Queuing Service) — CRITICAL 9.1 | CVEbaza.pl