Bricco Authenticator Plugin 先于1.39 DBAuthenticator.java authenticate/compare SQL注入
在Bricco Authenticator Plugin中曾发现一漏洞, 此漏洞被申报为致命。 此漏洞会影响功能 authenticate/compare
文件src/java/talentum/escenic/plugins/authenticator/authenticators/DBAuthenticator.java。 手动调试的不合法输入可导致 SQL注入。 使用CWE来声明会导致 CWE-89 的问题。 此漏洞的脆弱性 2023-01-16公示人身份a5456633ff75e8f13705974c7ed1ce77f3f142d5、所提交。 公告共享下载网址是github.com。
该漏洞被命名为CVE-2013-10013, 攻击需要进入局域网。 有技术细节可用。 没有可利用漏洞。 漏洞利用的当前现价为美元计算大致为USD $0-$5k。 MITRE ATT&CK项目声明攻击技术为T1505。
它被宣布为未定义。 估计零日攻击的地下价格约为$0-$5k。
升级到版本1.39能够解决此问题。 更新版本下载地址为 github.com。 补丁名称为a5456633ff75e8f13705974c7ed1ce77f3f142d5。 错误修复程序下载地址为github.com, 建议对受到影响的组件升级。 该漏洞被披露后,此前未曾发表过可能的缓解措施。