Vulnerabilidad de inyección SQL en Primion-Digitek Secure 8
Secure 8 (Evalos), versión 1.0.1.55.
INCIBE ha coordinado la publicación de una vulnerabilidad en el sistema Secure 8, con el código interno INCIBE-2021-0243, que ha sido descubierta por Ander Martínez de Titanium Industrial Security.
A esta vulnerabilidad se le ha asignado el código CVE-2021-3604. Se ha calculado una puntuación base CVSS v3.1 de 9,8; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.
Esta vulnerabilidad ha sido resuelta por Primion-Digitek en Evalos 8 3.3.5.
Primion-Digitek Secure 8 no valida correctamente los datos de entrada del usuario, lo que podría permitir a un atacante remoto realizar un ataque a ciegas por inyección SQL (Blind SQL Injection).
Un atacante podría explotar esta vulnerabilidad para extraer información de usuarios y cuentas de administrador almacenadas en la base de datos.
Esta vulnerabilidad ha sido resuelta por Primion-Digitek en Evalos8 3.3.5.
CWE 89: neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL).
Línea temporal:
14/12/2020 – Divulgación de los investigadores.
04/02/2021 – Los investigadores contactan con INCIBE.
05/05/2021 – Primion-Digitek confirma la vulnerabilidad a INCIBE y la publicación de la versión correctora y la nueva versión de software (security patch).
18/06/2021 – INCIBE publica el aviso.
Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.
