← voltar
CVE-2021-42258

CVE-2021-42258

CVSS 9.8 CRITICALEPSS 73.3%● KEVCWE-89
Em resumo

O BQE BillQuick Web Suite versões anteriores à 22.0.9.1 possui uma falha de injeção SQL no formulário de login que permite atacantes executarem código arbitrário no servidor sem credenciais válidas. Esta vulnerabilidade crítica foi explorada ativamente em outubro de 2021 para instalar ransomware.

Detalhe técnico

Injeção SQL sem autenticação existe no parâmetro txtID (nome de usuário) do BQE BillQuick Web Suite 2018-2021 (antes da versão 22.0.9.1). A exploração bem-sucedida permite execução de comandos SQL arbitrários e execução de código via xp_cmdshell sob a conta MSSQLSERVER$, sem exigir autenticação.

Resumo gerado e traduzido por IA a partir da descrição oficial.
BQE BillQuick Web Suite 2018 through 2021 before 22.0.9.1 allows SQL injection for unauthenticated remote code execution, as exploited in the wild in October 2021 for ransomware installation. SQL injection can, for example, use the txtID (aka username) parameter. Successful exploitation can include the ability to execute arbitrary code as MSSQLSERVER$ via xp_cmdshell.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-42258https://www.huntress.com/blog/threat-advisory-hackers-are-exploiting-a-vulnerability-in-popular-billing-software-to-deploy-ransomware