Kritična SQL injekcija u ProjeQtoru omogućava napad bez autentifikacije
Kritična SQL injekcija u ProjeQtoru 7.0-12.4.3 omogućava napad bez autentifikacije kroz login formu.
Šta se desilo?
Otkrivena je kritična ranjivost u projektnom softveru ProjeQtor koja omogućava napadačima da izvršavaju SQL injekcije kroz login formu bez potrebe za autentifikacijom. Napadač može iskoristiti login polje da umetne arbitrarne SQL komande, što dovodi do kompromitovanja celog sistema.
Koga pogađa?
Organizacije koje koriste ProjeQtor verzije 7.0 do 12.4.3 su direktno ugrožene. Pogađeni su projektni menadžeri, tim članovi i IT administratori čiji sistemi koriste osetljive verzije softvera. Takođe su pod rizikom sve baze podataka povezane sa ovim aplikacijama.
Kako se zaštititi?
- Odmah ažurirajte ProjeQtor na verziju 12.4.4 ili noviju
- Ako ažuriranje nije moguće, onemogućite pristup login stranici sa javne mreže
- Primenite Web Application Firewall (WAF) pravila koja filtriraju SQL injekcije
- Monitorujte baze podataka za sumnjive SQL upite i neobične aktivnosti
- Proverite sve administratorske naloge za neovlašćene pristupe
- Pregledate baze podataka za tražit neželjenih korisničkih naloga
Tehnički detalji
Ranjivost je klasifikovana sa CVSS skorom 9.8 kao KRITIČNA. Ugrožena je autentifikaciona funkcionalnost gde se vrednost login polja direktno uključuje u SQL upit bez zaštite od injekcija. Uspešan napad omogućava kreiranja privilegovanih naloga, pristup osjetljivim podacima i potencijalno izvršavanje operativnih sistema komandi ako baza podataka ima povećane dozvole.
Preporuka Sajber Radara
Ovo je hitna ranjivost koja zahteva nedodeljenu akciju. Sve organizacije sa ProjeQtorom moraju odmah primeniti ažuriranje na verziju 12.4.4 kako bi zaštitile svoje sisteme od aktivne eksploatacije.