Injecció SQLa Yonyou space-time enterprise information integration platform
21/02/2024
CVE-2024-24256
MITJÀ: (6,5)
CVSS3: 6,3
La Yonyou space-time enterprise information integration platform és vulnerable a la injecció SQL. Un atacant remot podria enviar instruccions SQL especialment dissenyades a l’script saveMove.jsp mitjançant el paràmetre ‘gwbhAIM’, que podria permetre a l’atacant veure, afegir, modificar o suprimir informació a la base de dades de fons.
Sistemes Afectats
- Yonyou space-time enterprise information integration platform 9.0
Remediació
No hi ha cap recurs disponible a partir del 15 de febrer del 2024.
Referències
- Yonyou
- YonYou(UF) -space-time KSOA-saveMove.jsp file gwbhAim parameter has a -SQL injection vulnerability
- SQL Injection vulnerability in Yonyou space-time enterprise information integration platform v.9.0 and before allows an attacker to obtain sensitive information via the gwbhAIM parameter in the saveMove.jsp in the hr_position directory.
