CVE-2018-7841
CVE-2018-7841
Em resumo
O U.motion Builder versão 1.3.4 permite que atacantes injetem código SQL malicioso através de caracteres impróprios, podendo acessar ilegalmente o banco de dados ou executar comandos não autorizados no sistema.
Detalhe técnico
Vulnerabilidade de SQL Injection no U.motion Builder 1.3.4 permite que atacantes remotos executem consultas SQL arbitrárias através de entrada especialmente formatada que contorna validação de dados, possibilitando acesso não autorizado ao banco de dados, exfiltração de dados ou execução de código conforme permissões do banco.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A SQL Injection (CWE-89) vulnerability exists in U.motion Builder software version 1.3.4 which could cause unwanted code execution when an improper set of characters is entered.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
U.motion · U.motion Builder software version 1.3.4PoCs públicas encontradas — 2
cve_referencepacketstormsecurity.com/files/152862/Schneider-Electric-U.Motion-Builder-1.3.4-Command-Injection.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/46846não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://packetstormsecurity.com/files/152862/Schneider-Electric-U.Motion-Builder-1.3.4-Command-Injection.htmlhttp://seclists.org/fulldisclosure/2019/May/26https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2018-7841https://www.schneider-electric.com/ww/en/download/document/SEVD-2019-071-02