Múltiples inyecciones SQL en ERPNext

Fecha de publicación 06/09/2018
Importancia
3 - Media
Recursos Afectados
  • ERPNext versión v10.1.6 (master)
Descripción

El investigador Yuri K, de Security Advisory EMEAR, ha reportado estas vulnerabilidades de tipo inyección SQL. Un potencial atacante podría, a través de un navegador web y sin necesidad de herramientas especiales, enviar peticiones web especialmente diseñadas para causar una inyección SQL y comprometer los datos.

Solución
  • Por el momento no se ha proporcionado ninguna solución para estas vulnerabilidades
Detalle
  • Neutralización inadecuada de elementos especiales:
    • El parámetro searchfield puede ser utilizado para ejecutar un ataque de inyección SQL. Se ha reservado el identificador CVE-2018-3882 para esta vulnerabilidad.
    • Los parámetros employee y sort_order pueden ser utilizados para ejecutar un ataque de inyección SQL. Se ha reservado el identificador CVE-2018-3883 para esta vulnerabilidad.
    • Los parámetros sort_by y start pueden ser utilizados para ejecutar un ataque de inyección SQL. Se ha reservado el identificador CVE-2018-3884 para esta vulnerabilidad.
    • El parámetro order_by puede ser utilizado para ejecutar un ataque de inyección SQL. Se ha reservado el identificador CVE-2018-3885 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ERPNext SQL Injection Vulnerabilities
Etiquetas