Progress Software - CVE-2026-9272
Date de publication :
Il s'agit d'une vulnérabilité d'injection SQL dans le module Flowmon ADS.
Flowmon ADS est un module d'analyse comportementale intégré à la solution Flowmon de Progress Software. Il assure la détection d'anomalies et de menaces sur le trafic réseau à partir de données de flux collectées sur l'infrastructure.
Un utilisateur authentifié disposant de faibles privilèges peut soumettre des requêtes spécialement forgées vers une fonctionnalité de l'application. Cette fonctionnalité n'applique pas de neutralisation correcte des caractères spéciaux SQL sur les paramètres reçus. Les requêtes forgées sont directement interprétées par la base de données sous-jacente, sans contrôle de cohérence avec le périmètre de droits normalement accordé à l'utilisateur.
Elle permet à un attaquant authentifié à faibles privilèges d'accéder de façon non autorisée aux données de l'application et de les modifier.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-89 : Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Flowmon ADS 12 versions antérieures à 12.5.6,
Flowmon ADS 13 versions antérieures à 13.0.5.
Solutions ou recommandations
• Flowmon ADS 13 : version 13.0.5 et supérieures.