ARC24-001

Arctera Data Insight Vulnerabilidade de Injeção de SQL (SQLi)

Histórico de revisão

  • 1.0: 16 de Dezembro, 2024: versão inicial
  • 1.1: 02 de Janeiro, 2025: CVE_ID adicionado

Resumo

A vulnerabilidade foi descoberta no Arctera Data Insight versões 7.1 e anteriores. A vulnerabilidade permite que um invasor modifique a sintaxe de uma query SQL em um dos recursos administrativos da aplicacão. Isso pode fazer com que o invasor consiga enviar comandos de SQL arbitrários arbitrários para a banco de dados de back-end e criar, ler, atualizar, ou deletar dados armazenados no banco. 

Problema

CVE ID: CVE-2024-46542
Severidade: Média
CVSS v3.1 Pontuação base 6.5 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N)
CWE-89: Neutralização Imprópria de Elementos Especiais usados em um Comando SQL ('Injeção de SQL')

Pré-requisitos 

É necessário que o invasor tenha a função de Administrador da aplicacão, que permite a navegação no banco de dados através do console web.

Versões afetadas

Arctera Data Insight versões 6.3, 6.3.1, 6.4, 6.4.1, 6.5, 6.5.1, 6.5.2, 6.6, 6.6.1, 6.6.2, 7.0, 7.0.1 e 7.1. Versões anteriores sem suporte do Arctera Data Insight também podem ser afetadas.

Remediação

Os clientes com um contrato de manutenção ativo devem atualizar para o Data Insight versão 7.1.1.

Consulte o Centro de Download para atualizações disponíveis: https://www.veritas.com/support/pt_BR/downloads

Reconhecimento

A Arctera gostaria de agradecer a Mario Tesoro por nos notificar sobre esta vulnerabilidade.

Perguntas

Para dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Arctera (https://www.arctera.io/support).

Isenção de responsabilidade

O AVISO DE SEGURANÇA É FORNECIDO "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM DETERMINADO FIM OU NÃO VIOLAÇÃO, SÃO REJEITADAS, EXCETO NA MEDIDA EM QUE TAIS ISENÇÕES DE RESPONSABILIDADE SEJAM CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSÁVEL POR DANOS INCIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM AVISO PRÉVIO.

Arctera US LLC
6200 Stoneridge Mall Road, Suite 150
Pleasanton, CA 94588