Vulnerabilidad en Cyclope Employee Surveillance Solution (CVE-2012-10047)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
08/08/2025
Última modificación:
08/08/2025
Descripción
La versión 6.x de Cyclope Employee Surveillance Solution es vulnerable a una falla de inyección SQL en su mecanismo de inicio de sesión. El parámetro de nombre de usuario en la solicitud POST auth-login no está correctamente depurado, lo que permite a los atacantes inyectar sentencias SQL arbitrarias. Esto puede aprovecharse para escribir y ejecutar un archivo PHP malicioso en el disco, lo que resulta en la ejecución remota de código en el contexto del usuario SYSTEM.
Impacto
Puntuación base 4.0
10.00
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/http/cyclope_ess_sqli.rb
- https://www.cyclope-series.com/
- https://www.exploit-db.com/exploits/20393
- https://www.exploit-db.com/exploits/20501
- https://www.vulncheck.com/advisories/cyclope-employee-surveillance-solution-sql-injection
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/http/cyclope_ess_sqli.rb
- https://www.exploit-db.com/exploits/20393
- https://www.exploit-db.com/exploits/20501