Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el archivo /pages/faculty_sched.php en SourceCodester Online Class and Exam Scheduling System (CVE-2022-2707)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
08/08/2022
Última modificación:
12/12/2024

Descripción

Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Online Class and Exam Scheduling System versión 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /pages/faculty_sched.php. La manipulación del argumento facultad con la entrada " OR (SELECT 2078 FROM(SELECT COUNT(*),CONCAT(0x716a717071,(SELECT (ELT(2078=2078,1)),0x717a706a71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)-- uYCM conlleva a una inyección sql. El ataque puede ser lanzado de forma remota. La explotación ha sido divulgada al público y puede ser usada. El identificador asociado a esta vulnerabilidad es VDB-205831

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:fabian:online_class_and_exam_scheduling_system:1.0:*:*:*:*:*:*:*