ESAFENET CDG 5 HookWhiteListService.java policyId sql injection

WpisHistoriapowiązaćjsonxmlCTI

Podatność została odkryta w ESAFENET CDG 5. Problemem dotknięta jest nieznana funkcja w pliku /com/esafenet/servlet/policy/HookWhiteListService.java. Dzięki manipulacji argumentem policyId przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności sql injection. Raport na temat podatności został udostępniony pod adresem flowus.cn. Podatność ta została oznaczona identyfikatorem CVE-2024-10500. Możliwe jest zdalne przeprowadzenie ataku. Techniczne szczegóły są znane. Uważa się go za nie określono.

3 Zmiany · 95 Punkty danych

Pole	Stworzono 2024-10-29 18:34	Update 1/2 2024-10-30 12:39	Update 2/2 2024-11-06 08:25
software_vendor	ESAFENET	ESAFENET	ESAFENET
software_name	CDG	CDG	CDG
software_version	5	5	5
software_file	/com/esafenet/servlet/policy/HookWhiteListService.java	/com/esafenet/servlet/policy/HookWhiteListService.java	/com/esafenet/servlet/policy/HookWhiteListService.java
software_argument	policyId	policyId	policyId
vulnerability_cwe	CWE-89 (sql injection)	CWE-89 (sql injection)	CWE-89 (sql injection)
vulnerability_risk	2	2	2
cvss3_vuldb_av	N	N	N
cvss3_vuldb_ac	L	L	L
cvss3_vuldb_ui	N	N	N
cvss3_vuldb_s	U	U	U
cvss3_vuldb_c	L	L	L
cvss3_vuldb_i	L	L	L
cvss3_vuldb_a	L	L	L
cvss3_vuldb_rc	R	R	R
advisory_url	https://flowus.cn/share/a582f7be-7e33-41f1-bce9-a1eb3578229f?code=G8A6P3	https://flowus.cn/share/a582f7be-7e33-41f1-bce9-a1eb3578229f?code=G8A6P3	https://flowus.cn/share/a582f7be-7e33-41f1-bce9-a1eb3578229f?code=G8A6P3
source_cve	CVE-2024-10500	CVE-2024-10500	CVE-2024-10500
cna_responsible	VulDB	VulDB	VulDB
response_summary	The vendor was contacted early about this disclosure but did not respond in any way.	The vendor was contacted early about this disclosure but did not respond in any way.	The vendor was contacted early about this disclosure but did not respond in any way.
cvss2_vuldb_av	N	N	N
cvss2_vuldb_ac	L	L	L
cvss2_vuldb_ci	P	P	P
cvss2_vuldb_ii	P	P	P
cvss2_vuldb_ai	P	P	P
cvss2_vuldb_rc	UR	UR	UR
cvss4_vuldb_av	N	N	N
cvss4_vuldb_ac	L	L	L
cvss4_vuldb_ui	N	N	N
cvss4_vuldb_vc	L	L	L
cvss4_vuldb_vi	L	L	L
cvss4_vuldb_va	L	L	L
cvss2_vuldb_au	S	S	S
cvss2_vuldb_e	ND	ND	ND
cvss2_vuldb_rl	ND	ND	ND
cvss3_vuldb_pr	L	L	L
cvss3_vuldb_e	X	X	X
cvss3_vuldb_rl	X	X	X
cvss4_vuldb_at	N	N	N
cvss4_vuldb_pr	L	L	L
cvss4_vuldb_sc	N	N	N
cvss4_vuldb_si	N	N	N
cvss4_vuldb_sa	N	N	N
cvss4_vuldb_e	X	X	X
cvss2_vuldb_basescore	6.5	6.5	6.5
cvss2_vuldb_tempscore	6.2	6.2	6.2
cvss3_vuldb_basescore	6.3	6.3	6.3
cvss3_vuldb_tempscore	6.1	6.1	6.1
cvss3_meta_basescore	6.3	6.3	7.1
cvss3_meta_tempscore	6.1	6.2	7.1
cvss4_vuldb_bscore	5.3	5.3	5.3
cvss4_vuldb_btscore	5.3	5.3	5.3
advisory_date	1730156400 (2024-10-29)	1730156400 (2024-10-29)	1730156400 (2024-10-29)
price_0day	$0-$5k	$0-$5k	$0-$5k
cve_nvd_summary		A vulnerability, which was classified as critical, has been found in ESAFENET CDG 5. Affected by this issue is some unknown functionality of the file /com/esafenet/servlet/policy/HookWhiteListService.java. The manipulation of the argument policyId leads to sql injection. The attack may be launched remotely. The vendor was contacted early about this disclosure but did not respond in any way.	A vulnerability, which was classified as critical, has been found in ESAFENET CDG 5. Affected by this issue is some unknown functionality of the file /com/esafenet/servlet/policy/HookWhiteListService.java. The manipulation of the argument policyId leads to sql injection. The attack may be launched remotely. The vendor was contacted early about this disclosure but did not respond in any way.
cve_nvd_summaryes		Se ha encontrado una vulnerabilidad, que se ha clasificado como crítica, en ESAFENET CDG 5. Este problema afecta a una funcionalidad desconocida del archivo /com/esafenet/servlet/policy/HookWhiteListService.java. La manipulación del argumento policyId provoca una inyección SQL. El ataque puede ejecutarse de forma remota. Se contactó al proveedor con anticipación sobre esta revelación, pero no respondió de ninguna manera.	Se ha encontrado una vulnerabilidad, que se ha clasificado como crítica, en ESAFENET CDG 5. Este problema afecta a una funcionalidad desconocida del archivo /com/esafenet/servlet/policy/HookWhiteListService.java. La manipulación del argumento policyId provoca una inyección SQL. El ataque puede ejecutarse de forma remota. Se contactó al proveedor con anticipación sobre esta revelación, pero no respondió de ninguna manera.
cvss4_cna_av		N	N
cvss4_cna_ac		L	L
cvss4_cna_at		N	N
cvss4_cna_pr		L	L
cvss4_cna_ui		N	N
cvss4_cna_vc		L	L
cvss4_cna_vi		L	L
cvss4_cna_va		L	L
cvss4_cna_sc		N	N
cvss4_cna_si		N	N
cvss4_cna_sa		N	N
cvss4_cna_bscore		5.3	5.3
cvss3_cna_av		N	N
cvss3_cna_ac		L	L
cvss3_cna_pr		L	L
cvss3_cna_ui		N	N
cvss3_cna_s		U	U
cvss3_cna_c		L	L
cvss3_cna_i		L	L
cvss3_cna_a		L	L
cvss3_cna_basescore		6.3	6.3
cvss2_cna_av		N	N
cvss2_cna_ac		L	L
cvss2_cna_au		S	S
cvss2_cna_ci		P	P
cvss2_cna_ii		P	P
cvss2_cna_ai		P	P
cvss2_cna_basescore		6.5	6.5
cvss3_nvd_av			N
cvss3_nvd_ac			L
cvss3_nvd_pr			L
cvss3_nvd_ui			N
cvss3_nvd_s			U
cvss3_nvd_c			H
cvss3_nvd_i			H
cvss3_nvd_a			H
cvss3_nvd_basescore			8.8

◂ Poprzedni Przegląd Kolejny ▸

Interested in the pricing of exploits?

See the underground prices here!