Fortra FileCatalyst Workflow SQL注入漏洞安全风险通告

admin

108699
文章

90
评论

2024年6月28日15:24:18评论7 views字数 831阅读2分46秒阅读模式

漏洞背景

近日，嘉诚安全监测到Fortra FileCatalyst Workflow中存在一个SQL注入漏洞，漏洞编号为：CVE-2024-5276。

Fortra FileCatalyst Workflow是一种专业的文件传输和工作流管理解决方案，设计用于加快大文件和大数据集的传输速度，并简化复杂的数据流程管理。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏洞为高危漏洞，PoC已公开。由于findJob方法使用用户提供的jobID参数而没有对输入进行清理以形成SQL查询中的WHERE子句，匿名远程攻击者（需启用匿名访问，否则需要经过身份验证）可通过Workflow Web应用程序URL端点中的jobID参数执行SQL注入攻击，成功利用该漏洞可能导致删除、修改应用程序数据库中的数据或创建恶意管理用户等。

危害影响

影响版本：

Fortra FileCatalyst Workflow <= v5.1.6 build 135

处置建议

目前该漏洞已经修复，受影响用户可升级到FileCatalyst Workflow 5.1.6 build 139或更高版本。

下载链接：

https://filecatalyst.software/workflow.html

参考链接：

https://www.fortra.com/security/advisory/fi-2024-008

https://support.fortra.com/filecatalyst/kb-articles/advisory-6-24-2024-filecatalyst-workflow-sql-injection-vulnerability-YmYwYWY4OTYtNTUzMi1lZjExLTg0MGEtNjA0NWJkMDg3MDA0

Fortra FileCatalyst Workflow SQL注入漏洞安全风险通告

原文始发于微信公众号（嘉诚安全）：【漏洞通告】Fortra FileCatalyst Workflow SQL注入漏洞安全风险通告

左青龙
微信扫一扫

右白虎
微信扫一扫

Fortra FileCatalyst Workflow SQL注入漏洞安全风险通告

锐捷上网行为管理系统naborTable RCE[附POC]

xwiki-CVE-2024-31982漏洞深入复现

锐捷统一上网行为管理与审计系统naborTable命令执行POC

漏洞预警 | XWiki远程代码执行漏洞

时空智友ERP系统 updater.uploadStudioFile 任意文件上传漏洞

Probllama：Ollama AI 远程代码执行漏洞 (CVE-2024-37032) - 概述和缓解措施

逻辑缺陷导致的敏感信息泄露

时空智友ERP系统updater.uploadStudioFile 任意文件上传漏洞

Zyxel操作系统命令注入漏洞

VMware vCenter Server堆溢出漏洞

发表评论

在线咨询

微信