CVE-2024-6670
WhatsUp Gold HasErrors SQL Injection Authentication Bypass Vulnerability
Em resumo
Um atacante não autenticado consegue explorar um erro de SQL Injection no WhatsUp Gold para roubar senhas criptografadas de usuários sem precisar fazer login. Isso quebra totalmente a autenticação e compromete a segurança das contas.
Detalhe técnico
Uma vulnerabilidade de SQL Injection (CWE-89) no WhatsUp Gold versões anteriores a 2024.0.0 permite que atacantes remotos não autenticados injetem comandos SQL maliciosos para extrair hashes de senhas criptografadas. Sem exigir autenticação prévia, o atacante acessa diretamente o banco de dados e compromete as credenciais.
Resumo gerado e traduzido por IA a partir da descrição oficial.
In WhatsUp Gold versions released before 2024.0.0, a SQL Injection vulnerability allows an unauthenticated attacker to retrieve the users encrypted password.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Progress Software Corporation · WhatsUp GoldPoCs públicas encontradas — 1
githubgithub.com/sinsinology/CVE-2024-6670★ 35⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →