CVE-2021-42258
CVE-2021-42258
En resumen
BQE BillQuick Web Suite versiones anteriores a la 22.0.9.1 contiene una vulnerabilidad de inyección SQL en el formulario de inicio de sesión que permite a atacantes ejecutar código arbitrario en el servidor sin necesidad de credenciales válidas. Esta falla crítica fue explotada activamente en octubre de 2021 para instalar ransomware.
Detalle técnico
Existe inyección SQL sin autenticación en el parámetro txtID (nombre de usuario) de BQE BillQuick Web Suite 2018-2021 (anterior a 22.0.9.1). La explotación exitosa permite la ejecución de comandos SQL arbitrarios y ejecución de código mediante xp_cmdshell bajo la cuenta MSSQLSERVER$, sin requerir autenticación.
Resumen generado y traducido por IA a partir de la descripción oficial.
BQE BillQuick Web Suite 2018 through 2021 before 22.0.9.1 allows SQL injection for unauthenticated remote code execution, as exploited in the wild in October 2021 for ransomware installation. SQL injection can, for example, use the txtID (aka username) parameter. Successful exploitation can include the ability to execute arbitrary code as MSSQLSERVER$ via xp_cmdshell.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →