SQL Injection no sistema Octeth Oempro

SQL Injection no sistema Octeth Oempro

Um de nossos especialistas identificou uma vulnerabilidade de SQL Injection no sistema Octeth Oempro 4.7 durante uma análise de segurança, e foi registrada como CVE-2019-19740.

A aplicação emitia uma mensagem informando um erro de sintaxe na consulta SQL, quando inseridas aspas simples na variável “CampaignID”, presente no método “Campaign.Get”. 

O erro nos dá sinais de que o software não realiza o devido tratamento das entradas de dados dos usuários, já que os mesmos estão sendo executados como comandos na consulta SQL.

Este erro já caracteriza a presença da vulnerabilidade SQL Injection, entretanto, necessitava-se verificar se ela era explorável, o que posteriormente foi confirmado.

O método utilizado para confirmação consistiu em realizar uma busca por uma informação inexistente na base de dados e, após, realizar a mesma consulta, só que dessa fez inserindo uma condição booleana que sempre seria interpretada como uma verdade para que desta forma nos retornasse uma informação presente na base de dados.

As figuras a seguir apresentam a confirmação e exploração da vulnerabilidade.

Figura 1 – Prova de conceito da vulnerabilidade.

Figura 2 – Exploração da vulnerabilidade.

Método: Campaign.Get

Parâmetro: CampaignID

Versões afetadas:

  • Octeth Oempro 4.7
  • Octeth Oempro 4.8

Referências:


Quer ter o sistema da sua empresa livre de vulnerabilidades? A XLabs Security conta com uma equipe de pesquisadores de ameaças experts em encontrar vulnerabilidades e manter sistemas protegidos. Fale agora mesmo com um de nossos especialistas.

Gostou do artigo? Compartilhe.

LinkedIn
Facebook
WhatsApp

Faça parte da nossa lista de emails!