Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Nozomi Networks Guardian y CMC (CVE-2023-2567)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
19/09/2023
Última modificación:
05/05/2025

Descripción

Vulnerabilidad de inyección SQL en Nozomi Networks Guardian y CMC, debido a una validación de entrada incorrecta en ciertos parámetros utilizados en la funcionalidad de consulta, permite a un atacante autenticado ejecutar consultas SQL arbitrarias en el DBMS utilizado por la aplicación web. Los usuarios autenticados pueden extraer información arbitraria del DBMS de forma incontrolada.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nozominetworks:cmc:*:*:*:*:*:*:*:* 22.6.3 (excluyendo)
cpe:2.3:a:nozominetworks:cmc:*:*:*:*:*:*:*:* 23.0.0 (incluyendo) 23.1.0 (excluyendo)
cpe:2.3:a:nozominetworks:guardian:*:*:*:*:*:*:*:* 22.6.3 (excluyendo)
cpe:2.3:a:nozominetworks:guardian:*:*:*:*:*:*:*:* 23.0.0 (incluyendo) 23.1.0 (excluyendo)