Injecció SQL de Synology Surveillance Station
03/04/2024
CVE-2024-29238
MITJÀ: (5,4)
CVSS3: 5,2
Synology Surveillance Station és vulnerable a la injecció SQL. Un atacant remot autenticat podria enviar declaracions SQL especialment dissenyades al component webapi Log.CountByCategory per veure, afegir, modificar o suprimir informació a la base de dades de fons.
Sistemes Afectats
- Synology Surveillance Station for DSM 7.2
- Synology Surveillance Station for DSM 7.1
- Synology Surveillance Station for DSM 6.2
Remediació
Consulteu Synology-SA-24:04 per obtenir informació sobre pedaços, actualització o solucions alternatives suggerides. Vegeu-ne les Referències.
Referències
- Surveillance Station
- Improper neutralization of special elements used in an SQL command ('SQL Injection') vulnerability in Log.CountByCategory webapi component in Synology Surveillance Station before 9.2.0-9289 and 9.2.0-11289 allows remote authenticated users to inject SQL commands via unspecified vectors.
