W aplikacji Agentis firmy Rolantis Information Technologies wykryto krytyczną podatność typu SQL Injection (CWE-89), umożliwiającą nieautoryzowanym atakującym wykonywanie dowolnych zapytań SQL. Podatność otrzymała maksymalny wynik CVSS 10.0, co wskazuje na jej wyjątkową krytyczność.
▸ Pokaż oryginał (EN)
Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Rolantis Information Technologies Agentis allows SQL Injection. This issue affects Agentis: before 4.32.
Podatność wynika z niewłaściwej neutralizacji znaków specjalnych w danych wejściowych przekazywanych do zapytań SQL (Improper Neutralization of Special Elements used in an SQL Command). Atakujący bez uwierzytelnienia, zdalnie przez sieć, może wstrzyknąć złośliwe polecenia SQL do zapytań wykonywanych przez aplikację. Wektor ataku wskazuje na brak wymagań co do uprawnień i interakcji użytkownika, a podatność ma zasięg wykraczający poza pierwotny komponent (Scope: Changed).
Atakujący może uzyskać pełny dostęp do bazy danych — odczytać, zmodyfikować lub usunąć dane, a w zależności od konfiguracji serwera potencjalnie przejąć kontrolę nad systemem. Podatność umożliwia naruszenie poufności, integralności i dostępności danych w najwyższym stopniu.
Należy niezwłocznie zaktualizować aplikację Agentis do wersji 4.32 lub nowszej. Szczegóły dostępne są w referencjach producenta oraz komunikatach USOM pod adresem https://www.usom.gov.tr/bildirim/tr-25-0168.
Aplikacja Agentis firmy Rolantis Information Technologies we wszystkich wersjach przed 4.32.
Podatność zgłoszona przez turecką instytucję ds. cyberbezpieczeństwa USOM (Ulusal Siber Olaylara Müdahale Merkezi) pod identyfikatorem TR-25-0168.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H