Vulnerabilidad en Dell Data Domain (CVE-2024-29174)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
26/06/2024
Última modificación:
23/09/2024
Descripción
Dell Data Domain, versiones anteriores a 7.13.0.0, LTS 7.7.5.30, LTS 7.10.1.20 contienen una vulnerabilidad de inyección SQL. Un atacante local con pocos privilegios podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de ciertos comandos SQL en la base de datos backend de la aplicación, lo que provocaría un acceso no autorizado a los datos de la aplicación.
Impacto
Puntuación base 3.x
4.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:dell:data_domain_operating_system:*:*:*:*:*:*:*:* | 7.7.5.40 (excluyendo) | |
cpe:2.3:o:dell:data_domain_operating_system:*:*:*:*:*:*:*:* | 7.8.0.0 (incluyendo) | 7.10.1.30 (excluyendo) |
cpe:2.3:o:dell:data_domain_operating_system:*:*:*:*:*:*:*:* | 7.11.0.0 (incluyendo) | 7.13.1.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página