Vulnerabilidad en Zultys MX-SE, MX-SE II, MX-E, MX-Virtual, MX250 y MX30 (CVE-2023-43743)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
08/12/2023
Última modificación:
13/12/2023
Descripción
Una vulnerabilidad de inyección SQL en Zultys MX-SE, MX-SE II, MX-E, MX-Virtual, MX250 y MX30 con versiones de firmware anteriores a 17.0.10 parche 17161 y 16.04 parche 16109 permite a un atacante autenticado ejecutar consultas SQL arbitrarias en la base de datos backend a través del parámetro de filtro en solicitudes al endpoint /newapi/ en la interfaz web de Zultys MX.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:zultys:mx-se_firmware:*:*:*:*:*:*:*:* | 16.0.4 (excluyendo) | |
| cpe:2.3:o:zultys:mx-se_firmware:*:*:*:*:*:*:*:* | 17.0.6 (incluyendo) | 17.0.10 (excluyendo) |
| cpe:2.3:h:zultys:mx-se:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zultys:mx-se_ii_firmware:*:*:*:*:*:*:*:* | 16.0.4 (excluyendo) | |
| cpe:2.3:o:zultys:mx-se_ii_firmware:*:*:*:*:*:*:*:* | 17.0.6 (incluyendo) | 17.0.10 (excluyendo) |
| cpe:2.3:h:zultys:mx-se_ii:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zultys:mx-e_firmware:*:*:*:*:*:*:*:* | 16.0.4 (excluyendo) | |
| cpe:2.3:o:zultys:mx-e_firmware:*:*:*:*:*:*:*:* | 17.0.6 (incluyendo) | 17.0.10 (excluyendo) |
| cpe:2.3:h:zultys:mx-e:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zultys:mx-virtual_firmware:*:*:*:*:*:*:*:* | 16.0.4 (excluyendo) | |
| cpe:2.3:o:zultys:mx-virtual_firmware:*:*:*:*:*:*:*:* | 17.0.6 (incluyendo) | 17.0.10 (excluyendo) |
| cpe:2.3:h:zultys:mx-virtual:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zultys:mx250_firmware:*:*:*:*:*:*:*:* | 16.0.4 (excluyendo) | |
| cpe:2.3:o:zultys:mx250_firmware:*:*:*:*:*:*:*:* | 17.0.6 (incluyendo) | 17.0.10 (excluyendo) |
| cpe:2.3:h:zultys:mx250:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página