Headline
CVE-2022-43437: 驊鉅數位 Easy Test - SQL Injection
The Download function’s parameter of EasyTest has insufficient validation for user input. A remote attacker authenticated as a general user can inject arbitrary SQL command to access, modify or delete database.
:::
- 首頁
- 資安服務
- 台灣漏洞揭露平台 (TVN)
- TVN (Taiwan Vulnerability Note) 漏洞公告
TVN ID
TVN-202212002
CVE ID
CVE-2022-43437
CVSS
8.8 (High)
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
影響產品
驊鉅數位 Easy Test ver17L18S
問題描述
驊鉅數位Easy Test之下載功能參數未對使用者輸入進行驗證,遠端攻擊者以一般使用者權限登入後,即可注入任意SQL語法讀取、修改及刪除資料庫。
解決方法
更新Easy Test版本至v.22I26
漏洞通報者
Pin Wei, He (CHT Security)
公開日期
2022-12-30