Vulnerabilidad en Weaver Ecology v9 (CVE-2024-48072)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
19/11/2024
Última modificación:
05/06/2025
Descripción
Se descubrió que Weaver Ecology v9.* contenía una vulnerabilidad de inyección SQL a través del componente /mobilemode/Action.jsp?invoker=com.weaver.formmodel.mobile.mec.servlet.MECAction&action=getFieldTriggerValue&searchField=*&fromTable=HrmResourceManager&whereClause=1%3d1&triggerCondition=1&expression=%3d&fieldValue=1.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:weaver:e-cology:8.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:weaver:e-cology:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página