CVE-2024-26164

Опубликовано: 12 мар. 2024

Источник: msrc

CVSS3: 8.8

EPSS Низкий

Описание

Microsoft Django Backend for SQL Server Remote Code Execution Vulnerability

FAQ

How could an attacker exploit the vulnerability?

An attacker could use the unsanitized parameter into a SQL query to trigger SQL Injection.

According to the CVSS metric, privileges required is low (PR:L). What does that mean for this vulnerability?

Successful exploitation of this vulnerability simply requires the attacker or targeted user to leverage a Microsoft Access application to automatically talk to a SQL Server while utilizing a remote SQL Server address that they control.

Обновления

Продукт	Статья	Обновление
SQL Server backend for Django	Release Notes	Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

Exploited

Latest Software Release

Exploitation Less Likely

DOS

N/A

EPSS

Процентиль: 89%

0.04714

Низкий

8.8 High

CVSS3

Связанные уязвимости

CVE-2024-26164

CVSS3: 8.8

nvd

почти 2 года назад

Microsoft Django Backend for SQL Server Remote Code Execution Vulnerability

GHSA-vmqv-47j8-gwv8

CVSS3: 8.8

github

почти 2 года назад

Remote Code Execution Vulnerability in Microsoft Django Backend for SQL Server

BDU:2024-02189

CVSS3: 8.8

fstec

почти 2 года назад

Уязвимость системы управления базами данных Microsoft SQL Server для фреймворка веб-разработки Django, связанная с непринятием мер по защите структуры запроса SQL при обработке параметра unsanitized, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 89%

0.04714

Низкий

8.8 High

CVSS3