Luka wynika z niedostatecznego oczyszczenia danych dostarczonych przez użytkownika przekazywanych przez parametr column_value w działaniu setConfiguration w punkcie końcowym ConfigurationServlet na porcie 8080/TCP. Zdalna nieuwierzytelniona osoba atakująca może wysłać specjalnie spreparowane żądanie do aplikacji, której dotyczy luka, i wykonać dowolne polecenia SQL w bazie danych aplikacji. Pomyślne wykorzystanie tej luki może umożliwić zdalnej osobie atakującej odczytywanie, usuwanie i modyfikowanie danych w bazie danych oraz uzyskanie pełnej kontroli nad zaatakowaną aplikacją.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny