Проблема была обнаружена в BMC Control-M/MFT версий с 9.0.20 по 9.0.22. Уязвимость внедрения SQL в интерфейсе отладки MFT API позволяет злоумышленнику, прошедшему проверку подлинности, внедрять вредоносные запросы из-за неправильной проверки входных данных и небезопасной обработки динамического SQL. Успешная эксплуатация может активировать произвольные операции чтения/записи файлов и потенциально привести к удаленному выполнению кода.
Показать оригинальное описание (EN)
An issue was discovered in BMC Control-M/MFT 9.0.20 through 9.0.22. A SQL injection vulnerability in the MFT API's debug interface allows an authenticated attacker to inject malicious queries due to improper input validation and unsafe dynamic SQL handling. Successful exploitation can enable arbitrary file read/write operations and potentially lead to remote code execution.