CVE-2021-20016

CVSS 9.8 CRITICALEPSS 40.0%● KEVCWE-89

Em resumo

Uma falha de injeção de SQL no SonicWall SSLVPN SMA100 permite que um atacante sem credenciais de login injete comandos SQL maliciosos e roube nomes de usuário, senhas e dados de sessão. É crítico porque os invasores podem comprometer contas de usuários e ganhar acesso não autorizado ao sistema VPN.

Detalhe técnico

Uma vulnerabilidade de injeção SQL (CWE-89) no SonicWall SSLVPN SMA100 versão build 10.x permite que atacantes remotos não autenticados executem consultas SQL arbitrárias através de sanitização inadequada de entrada, possibilitando a extração de dados sensíveis incluindo credenciais e tokens de sessão. O ataque não requer autenticação prévia e afeta os componentes centrais de autenticação e gerenciamento de sessão.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A SQL-Injection vulnerability in the SonicWall SSLVPN SMA100 product allows a remote unauthenticated attacker to perform SQL query to access username password and other session related information. This vulnerability impacts SMA100 build version 10.x.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

SonicWall · SonicWall SMA100

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-20016