CVE-2021-33731

EPSS 46.6%CWE-89

Em resumo

Um usuário privilegiado com acesso ao SINEC NMS pode enviar requisições especialmente preparadas ao servidor web para executar comandos não autorizados no banco de dados local. Isso permite que um insider comprometa a integridade do banco de dados e potencialmente roube ou modifique dados críticos de gerenciamento de rede.

Detalhe técnico

Vulnerabilidade de injeção SQL no servidor web do SINEC NMS permite que usuários autenticados com privilégios elevados executem comandos SQL arbitrários contra o banco de dados local. O ataque requer credenciais válidas de autenticação e requisições HTTP manipuladas; a exploração bem-sucedida resulta em acesso não autorizado ao banco de dados e potencial roubo ou modificação de dados.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A vulnerability has been identified in SINEC NMS (All versions < V1.0 SP2 Update 1). A privileged authenticated attacker could execute arbitrary commands in the local database by sending crafted requests to the webserver of the affected application.

Produtos afetados

Siemens · SINEC NMS

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://cert-portal.siemens.com/productcert/pdf/ssa-163251.pdf