D-Link DAR-7000 cihazında SQL enjeksiyonu adı verilen bir güvenlik açığı ortaya çıkarıldı.
SQL enjeksiyonu, kötü amaçlı SQL ifadeleri enjekte etmek ve veritabanına yetkisiz erişim elde etmek için web uygulamalarındaki güvenlik açıklarından yararlanan kötü niyetli bir saldırıdır.
Bu teknik, bir saldırganın veritabanındaki verileri görüntülemesine, değiştirmesine ve silmesine olanak tanır; bu da verilerin gizliliği, bütünlüğü ve kullanılabilirliği açısından önemli bir tehdit oluşturabilir.
SQL enjeksiyon saldırıları, MySQL, MSSQL, Oracle ve diğerleri dahil olmak üzere çeşitli veritabanlarını hedefleyebilir.
Kötü niyetli aktörler, yönetici ayrıcalıkları elde etmek ve etkilenen cihazlarda yetkisiz komutlar yürütmek için bu güvenlik açığından yararlanabilir.
Yeni keşfedilen bir güvenlik açığını tanımlamak ve izlemek için resmi bir CVE numarası olan CVE-2023-42406 atandı.
Bu güvenlik açığının önem düzeyi, yaratabileceği potansiyel etkiyi belirlemek için şu anda analiz aşamasındadır.
GitHub’da, güvenlik açığından nasıl yararlanılabileceğini gösteren bir Kavram Kanıtı (PoC) yayınlandı.
CVE-2023-42406 – Kavram kanıtı
Cyber Security News ile paylaşılan raporlara göre bu güvenlik açığı, SQL enjeksiyonuna karşı savunmasız olan /sysmanage/editrole.php uç noktasında bulunuyor.
Potansiyel bir bilgisayar korsanı, hedef uç noktaya “hid_id=(select*from(select(sleep(3))))a)” gibi özel hazırlanmış bir veri göndererek bir güvenlik açığından yararlanabilir. Bu, sistemin başarılı bir şekilde kullanılmasıyla sonuçlanabilir.
Bu kavram kanıtlamayla ilgili tam bir rapor GitHub tarafından yayınlandı ve bu rapor, istismar hakkında ayrıntılı bilgi sağlıyor.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.