Een kritieke SQL-injectie kwetsbaarheid, CVE-2024-45955, is ontdekt in Rocket Software Rocket Zena versie 4.4.1.26. Deze kwetsbaarheid kan een aanvaller in staat stellen schadelijke SQL-commando’s uit te voeren via de filterparameter, zonder dat hiervoor gebruikersinteractie nodig is. Dit betekent dat de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem in gevaar kunnen komen.
Het probleem wordt veroorzaakt door een onjuiste neutralisatie van speciale elementen die worden gebruikt in SQL-opdrachten, zoals beschreven door CWE-89. Met een CVSS-score van 7,3 wordt deze kwetsbaarheid als hoog risico geclassificeerd.
Overzicht
Rocket Software’s Rocket Zena 4.4.1.26 is momenteel kwetsbaar voor een SQL-injectie aanval, die kan leiden tot ongeautoriseerde toegang en manipulatie van de database. De aanvalsvector is via het netwerk en vereist geen authenticatie.
Bronnen
Vraag en Antwoord
Wat is CVE-2024-45955?
Dit is een kwetsbaarheid waardoor kwaadaardige SQL-opdrachten kunnen worden uitgevoerd via de filterparameter van Rocket Zena.
Welke systemen zijn kwetsbaar voor CVE-2024-45955?
Versie 4.4.1.26 van Rocket Software’s Rocket Zena is kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is nog geen melding gemaakt van beschikbare patches; houd de officiële bronnen in de gaten.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan databasecommands uitvoeren zonder autorisatie, wat kan leiden tot gegevensmanipulatie of datalekken.
