Descripción
Se han reportado 3 vulnerabilidades de severidad alta y una de severidad crítica que podrían permitir a un atacante remoto revelar información, realizar una escalada de privilegios, leer datos confidenciales y ejecutar código, respectivamente.
Debido a una vulnerabilidad de inyección SQL, un atacante no autorizado podría divulgar información o realizar una escalada de privilegios. Se han asignado los identificadores CVE-2021-22654 y CVE-2021-22658 para estas vulnerabilidades de severidad alta, respectivamente.
Una vulnerabilidad de limitación incorrecta del nombre de la ruta a un directorio restringido (path traversal) podría permitir a un atacante leer datos confidenciales. Se ha asignado el identificador CVE-2021-22656 para esta vulnerabilidad de severidad alta.
La ausencia de autenticación en la configuración de iView podría permitir a un atacante, no autorizado, cambiar la configuración y ejecutar código. Se ha asignado el identificador CVE-2021-22652 para esta vulnerabilidad de severidad crítica.
Recursos afectados
Todas las versiones anteriores a la 5.7.03.6112 de iView.
Solución
Para solucionarlo se debe actualizar iView a la versión 5.7.03.6112 que se puede descargar aquí.