Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad de inyección SQL, que permitiría a un atacante ejecutar consultas SQL arbitrarias en el sistema afectado.
La vulnerabilidad identificada como CVE-2022-22280, de severidad critica, con una puntuación asignada de 9.4. Esta vulnerabilidad se debe a la neutralización incorrecta de elementos especiales utilizados en un comando SQL. Esto permitiría a un atacante remoto ejecutar consultas SQL arbitrarias en el sistema afectado.
Los productos afectados son:
- GMS, versión 9.3.1-SP2-Hotfix-1 y versiones anteriores.
- Analytics, versión 2.5.0.3 – 2520 y versiones anteriores.
Se recomienda actualizar a las versiones GMS 9.3.1-SP2-Hotfix-2 y Analytics 2.5.0.3-Hotfix-1 respectivamente, a través de los siguientes enlaces:
Referencias:
- https://www.bleepingcomputer.com/news/security/sonicwall-patch-critical-sql-injection-bug-immediately/
- https://thehackernews.com/2022/07/sonicwall-issues-patch-for-critical-bug.html
- https://www.redpacketsecurity.com/sonicwall-global-management-system-gms-and-analytics-sql-injection-cve-2022-22280/
- https://www.sonicwall.com/support/knowledge-base/security-notice-sonicwall-analytics-on-prem-sql-injection-vulnerability/220613083254037/
- https://www.sonicwall.com/support/notices/security-notice-sonicwall-gms-sql-injection-vulnerability/220613083124303/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22280https://www.sonicwall.com/support/knowledge-base/upgrade-assistance-on-gms-9-3-with-hotfix-for-sql-injection-vulnerability/220722105700077/
- https://www.sonicwall.com/support/