CVE-2022-0757

Опубликовано: 17 мар. 2022

Источник: nvd

CVSS3: 5.5

CVSS3: 8.8

CVSS2: 6.5

EPSS Низкий

Описание

Rapid7 Nexpose versions 6.6.93 and earlier are susceptible to an SQL Injection vulnerability, whereby valid search operators are not defined. This lack of validation can allow a logged-in, authenticated attacker to manipulate the "ANY" and "OR" operators in the SearchCriteria and inject SQL code. This issue was fixed in Rapid7 Nexpose version 6.6.129.

Ссылки

https://docs.rapid7.com/release-notes/nexpose/20220302/
Release Notes
Vendor Advisory
https://docs.rapid7.com/release-notes/nexpose/20220302/
Release Notes
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:rapid7:nexpose:*:*:*:*:*:*:*:*

Версия до 6.6.93 (включая)

EPSS

Процентиль: 37%

0.00156

Низкий

5.5 Medium

CVSS3

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-89

Связанные уязвимости

GHSA-76q8-942h-339c

CVSS3: 9.8

github

почти 4 года назад

Rapid7 Nexpose versions 6.6.93 and earlier are susceptible to an SQL Injection vulnerability, whereby valid search operators are not defined. This lack of validation can allow an attacker to manipulate the "ANY" and "OR" operators in the SearchCriteria and inject SQL code. This issue was fixed in Rapid7 Nexpose version 6.6.129.

BDU:2022-05037

CVSS3: 8.8

fstec

больше 3 лет назад

Уязвимость системы управления уязвимостями Rapid7 Nexpose, связанная с недостаточной защитой структуры запроса SQL, позволяющая нарушителю манипулировать операторами "ANY" и "OR" в SearchCriteria и внедрить код SQL

EPSS

Процентиль: 37%

0.00156

Низкий

5.5 Medium

CVSS3

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-89