CVE-2024-53354

Опубликовано: 31 янв. 2025

Источник: nvd

CVSS3: 6.5

EPSS Низкий

Описание

Multiple SQL injection vulnerabilities in EasyVirt DCScope <= 8.6.0 and CO2Scope <= 1.3.0 allows remote authenticated attackers to execute arbitrary SQL commands via the (1) user parameter to /api/management/findfilterlist; the (2) user or (3) filter parameter to /api/audit/findmetawatcher; the (4) user parameter to /api/audit/findmetaalert; the (5) user parameter to /api/management/ds; the (6) user or (7) filter parameter to /api/audit/findmetarunalert; the (7) user parameter to /api/management/findtimeview; the (8) user, (9) filter or (10) target parameter to /api/management/getihmsettings; the (11) user or (12) filter parameter to /api/management/elementstype; the (14) login, (15) user, (16) is_local, (17) is_ldap, or (18) is_openid parameter to /api/user/addalias; the (19) role parameter to /api/user/addrole; the (20) user or (21) filter parameter to /api/management/addtimeview; the (22) TIMEAGO, (23) IDENTIFIER, (24) USER, (25) NAME, or (26) COST parameter to /api/management/addta

Ссылки

https://github.com/Elymaro/CVE/blob/main/EasyVirt/CVE-2024-53354.md
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:easyvirt:co2scope:*:*:*:*:*:*:*:*

Версия до 1.3.0 (включая)

cpe:2.3:a:easyvirt:dcscope:*:*:*:*:*:*:*:*

Версия до 8.6.0 (включая)

EPSS

Процентиль: 33%

0.0013

Низкий

6.5 Medium

CVSS3

Дефекты

CWE-89

Связанные уязвимости

GHSA-xf5v-53c5-gf52