Vulnérabilité critique dans des produits SonicWall
Date de publication :
SonicWall Global Management System (GMS) est une plateforme centralisée de gestion des produits de cybersécurité SonicWall.
SonicWall Analytics est une solution d’analyse des données d’infrastructures réseau.
CVE-2022-22280 [Score CVSS v3.1: 9.8] (critique)
Une neutralisation incorrecte d’éléments spéciaux utilisés dans des commandes SQL permet à un attaquant non authentifié, en envoyant une requête SQL spécialement forgée, d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Criticité
Score CVSS v3.1: 9.8 (critique)
La faille est activement exploitée
Non
Un correctif existe
Oui
Une mesure de contournement existe
Oui
La vulnérabilité exploitée est du type
CWE-89: Improper Neutralization of Special Elements used in an SQL Command
Détails sur l’exploitation
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Les logiciels suivants sont affectés par cette vulnérabilité :
SonicWall GMS en version 9.3.1-SP2-Hotfix1 et versions antérieures
SonicWall Analytics en version 2.5.0.3-2520 et versions antérieures
Solutions ou recommandations
Mettre à jour SonicWall GMS en version 9.3.1-SP2-Hotfix-2.
Mettre à jour SonicWall Analytics en version 2.5.0.3-2520-Hotfix1.
Des informations complémentaires sont disponibles ici.
Une mesure de contournement existe : la probabilité d'exploitation peut être réduite en incorporant un pare-feu d'application Web.