Уязвимость BDU:2022-01714

Идентификатор: BDU:2022-01714.

Наименование уязвимости: Уязвимость платформы электронной коммерции SyliusGridBundle для приложений Symfony, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнять произвольные SQL-запросы.

Описание уязвимости: Уязвимость платформы электронной коммерции SyliusGridBundle для приложений Symfony связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные SQL-запросы
Уязвимое ПО: Прикладное ПО информационных систем SyliusGridBundle до 1.10.1 | Прикладное ПО информационных систем SyliusGridBundle до 1.11-rc.2 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 10.02.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/Sylius/SyliusGridBundle/commit/73d0791d0575f955e830a3da4c3345f420d2f784
https://github.com/Sylius/SyliusGridBundle/security/advisories/GHSA-2xmm-g482-4439.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-24752. SB2022032115.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/Sylius/SyliusGridBundle/commit/73d0791d0575f955e830a3da4c3345f420d2f784
https://github.com/Sylius/SyliusGridBundle/security/advisories/GHSA-2xmm-g482-4439
https://github.com/Sylius/SyliusGridBundle/pull/222
https://github.com/Sylius/SyliusGridBundle/releases/tag/v1.10.1
https://github.com/Sylius/SyliusGridBundle/releases/tag/v1.11.0-RC.2
https://vuldb.com/?id.195120
https://safe-surf.ru/upload/VULN/VULN-20220321.4.pdf
https://www.cybersecurity-help.cz/vdb/SB2022032115