Progress Software - CVE-2026-9272

Date de publication :

Il s'agit d'une vulnérabilité d'injection SQL dans le module Flowmon ADS.

Flowmon ADS est un module d'analyse comportementale intégré à la solution Flowmon de Progress Software. Il assure la détection d'anomalies et de menaces sur le trafic réseau à partir de données de flux collectées sur l'infrastructure.

Un utilisateur authentifié disposant de faibles privilèges peut soumettre des requêtes spécialement forgées vers une fonctionnalité de l'application. Cette fonctionnalité n'applique pas de neutralisation correcte des caractères spéciaux SQL sur les paramètres reçus. Les requêtes forgées sont directement interprétées par la base de données sous-jacente, sans contrôle de cohérence avec le périmètre de droits normalement accordé à l'utilisateur.

Elle permet à un attaquant authentifié à faibles privilèges d'accéder de façon non autorisée aux données de l'application et de les modifier.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

•   Atteinte à la confidentialité des données
•   Atteinte à l'intégrité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-89 : Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

Flowmon ADS 12 versions antérieures à 12.5.6, 

Flowmon ADS 13 versions antérieures à 13.0.5.

Solutions ou recommandations

•   Flowmon ADS 12 : version 12.5.6 et supérieures.
•   Flowmon ADS 13 : version 13.0.5 et supérieures.