SonicWall выпустила патчи, которые должны устранить критическую уязвимость, приводящую к SQL-инъекции. Среди затронутых продуктов есть Analytics On-Prem и Global Management System (GMS).
Проблема в безопасности отслеживается под идентификатором CVE-2022-22280, ей присвоили 9,4 балла по шкале CVSS.
Как описывает брешь сама компания, она связана с «некорректной нейтрализацией специальных элементов». В результате условный атакующий, не прошедший аутентификацию, может выполнить инъекции SQL-команд.
«Без достаточной очистки синтаксиса SQL от кавычек в пользовательском вводе сгенерированный запрос может представить ввод как SQL вместо обычных данных», — так описываются баги такого класса у MITRE.
Уязвимости в продуктах SonicWall выявили исследователи H4lo и Catalpa из DBappSecurity HAT Lab. Известно, что дыры затрагивают Analytics On-Prem 2.5.0.3-2520 и более старые версии, а также релизы до GMS до 9.3.1-SP2-Hotfix1 включительно.
Всем организациям, использующим уязвимые версии, стоит обновиться до Analytics 2.5.0.3-2520-Hotfix1 и GMS 9.3.1-SP2-Hotfix-2.
