Vulnerabilidad de inyección SQL en ConacWin de Setelsa Security
Fecha de publicación 01/08/2023
Importancia
5 - Crítica
Recursos Afectados
ConacWin, versión 3.7.1.2.
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a ConacWin de Setelsa Security, una plataforma de control de acceso, la cual ha sido descubierta por David Cámara Galindo, de Telefónica Tech.
A esta vulnerabilidad se le ha asignado el siguiente código:
CVE-2023-4037:
- Puntuación base CVSS v3.1: 9.9.
- Cálculo del CVSS: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H.
- Tipo de vulnerabilidad: CWE-89: inyección SQL.
Solución
Setelsa Security ha liberado la versión 3.9.1.1, la cual resuelve la vulnerabilidad reportada.
Detalle
CVE-2023-4037: vulnerabilidad de inyección SQL ciega en la interfaz web de Conacwin, cuya explotación podría permitir a un atacante local obtener datos confidenciales almacenados en la base de datos enviando una consulta SQL especialmente diseñada al parámetro xml.
Listado de referencias
Etiquetas
