Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en HSC Mailinspector (CVE-2024-34472)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
06/05/2024
Última modificación:
17/06/2025

Descripción

Se descubrió un problema en HSC Mailinspector 5.2.17-3 hasta v.5.2.18. Existe una vulnerabilidad de inyección SQL ciega autenticada en el archivo mliRealtimeEmails.php. El parámetro ordemGrid en una solicitud POST a /mailinspector/mliRealtimeEmails.php no sanitiza adecuadamente la entrada, lo que permite a un atacante autenticado ejecutar comandos SQL arbitrarios, lo que lleva a la posible divulgación de toda la base de datos de la aplicación.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:hsclabs:mailinspector:*:*:*:*:*:*:*:* 5.2.17-3 (incluyendo) 5.2.19 (excluyendo)