Source |
CVE Liste |
Identifiant |
8404779 |
Date de publication |
2023-11-02 14:15:10 (vue: 2023-11-02 17:07:30) |
Titre |
CVE-2023-26454 |
Texte |
Les demandes de récupération des métadonnées d'image pourraient être abusées pour inclure des requêtes SQL qui seraient exécutées sans contrôle.L'exploitation de cette vulnérabilité nécessite au moins l'accès aux réseaux adjacents du service ImageConverter, qui n'est pas exposé aux réseaux publics par défaut.Les instructions arbitraires SQL peuvent être exécutées dans le contexte du compte utilisateur de la base de données Services.Les demandes d'API sont désormais correctement vérifiées pour le contenu valide et les tentatives de contournement de ce chèque sont enregistrées comme erreur.Aucun exploit accessible au public n'est connu.
Requests to fetch image metadata could be abused to include SQL queries that would be executed unchecked. Exploiting this vulnerability requires at least access to adjacent networks of the imageconverter service, which is not exposed to public networks by default. Arbitrary SQL statements could be executed in the context of the services database user account. API requests are now properly checked for valid content and attempts to circumvent this check are being logged as error. No publicly available exploits are known. |
Envoyé |
Oui |
Condensat |
2023 26454 abused access account adjacent api arbitrary are attempts available being check checked circumvent content context could cve database default error executed exploiting exploits exposed fetch image imageconverter include known least logged metadata networks not now properly public publicly queries requests requires service services sql statements unchecked user valid vulnerability which would |
Tags |
Vulnerability
|
Stories |
|
Notes |
|
Move |
|