Inyección SQL en la plataforma SaaS de Clickedu
Plataforma SaaS de Clickedu.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a la plataforma SaaS de Clickedu, una plataforma para la eficiencia en la gestión educativa. La vulnerabilidad ha sido descubierta por Kevin Gonzalvo Vicente.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-2247: CVSS v4.0: 8.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N | CWE-89
La vulnerabilidad ha sido solucionada por el equipo de Clickedu en la integración del día 26/01.
CVE-2026-2247: vulnerabilidad de inyección SQL (SQLi) en Clicldeu SaaS, concretamente en la generación de boletines, que se produce cuando un atacante remoto previamente autenticado ejecuta una carga maliciosa en la URL generada tras descargar el boletín de notas del alumno en la sección 'Día a día' desde la aplicación móvil.
En la URL del PDF generado, el token de sesión utilizado no caduca, por lo que sigue siendo válido durante días después de su generación, y se pueden introducir caracteres inusuales después del parámetro 'id_alu', lo que da lugar a dos tipos de SQLi: boolean-based blind y time-based blind. La explotación de esta vulnerabilidad podría permitir a un atacante acceder a información confidencial de la base de datos.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-2247 | Alta | No | Clickedu |
