CVE-2020-8656
Présentation
Une injection SQL est possible dans eonapi, le paramètre d’injection est getApiKey. Cette injection permet notamment de bypass l’authentification et donc permet à un utilisateur quelconque de s’identifier sans login.
Exploitation
Versions concernée(s)
EON 5.3-0
Versions patchées
Correction
Télécharger la dernière version d’EON patchée.
Liens relatifs
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8656
http://packetstormsecurity.com/files/156266/EyesOfNetwork-5.3-Remote-Code-Execution.html