Vulnerabilidad en TGS Content Management (CVE-2009-2929)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
21/08/2009
Última modificación:
09/04/2025
Descripción
Múltiples vulnerabilidades de inyección SQL en TGS Content Management 0.x permite a atacantes remotos ejecutar comandos SQL de su elección a través de los parámetros (1) tgs_language_id, (2) tpl_dir, (3) referer, (4) user-agent, (5) site, (6) option, (7) db_optimization, (8) owner, (9) admin_email, (10) default_language y (11) db_host para cms/index.php; y los parámetros (12) cmd, (13) s_dir, (14) minutes, (15) s_mask, (16) test3_mp, (17) test15_file1, (18) submit, (19) brute_method, (20) ftp_server_port, (21) userfile14, (22) subj, (23) mysql_l, (24) action y (25) userfile1 para cms/frontpage_ception.php. NOTA: algunos de estos parámetros pueden ser aplicables sólo en las versiones no estándar del producto y cms/frontpage_ception.php puede ser cms/frontpage_caption.php en todas las versiones publicadas.
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:tgs-cms:tgs_content_management:0.1.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tgs-cms:tgs_content_management:0.1.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tgs-cms:tgs_content_management:0.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tgs-cms:tgs_content_management:0.2.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tgs-cms:tgs_content_management:0.2.5:r2:*:*:*:*:*:* | ||
| cpe:2.3:a:tgs-cms:tgs_content_management:0.2.5:r3:*:*:*:*:*:* | ||
| cpe:2.3:a:tgs-cms:tgs_content_management:0.3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tgs-cms:tgs_content_management:0.3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tgs-cms:tgs_content_management:0.3.2:r2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página