Quest - CVE-2026-7570
Date de publication :
Il s'agit d'une vulnérabilité d'injection SQL dans le composant NVBUDashboard de Quest NetVault Backup, au niveau du traitement des messages JSON-RPC.
Quest NetVault Backup est une solution de sauvegarde et de restauration d'entreprise qui centralise la protection des données sur des environnements hétérogènes, physiques et virtuels.
Les chaînes de caractères soumises par l'utilisateur ne sont pas validées avant leur insertion dans les requêtes SQL construites dynamiquement. Le mécanisme d'authentification nominalement requis est documenté comme contournable, ce qui abaisse effectivement le prérequis d'accès. L'exécution de code résulte de l'exploitation de l'injection SQL au sein du processus applicatif.
Elle permet à un attaquant distant d'obtenir une exécution de code arbitraire dans le contexte du compte NETWORK SERVICE sur le système hébergeant l'application.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-89 : Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Quest NetVault Backup versions antérieures à 14.0.2