Vulnerabilidad en el componente del navegador de archivos en webEdition CMS (CVE-2014-2303)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
13/06/2014
Última modificación:
12/04/2025
Descripción
Múltiples vulnerabilidades de inyección SQL en el componente del navegador de archivos (we_fs.php) en webEdition CMS anterior a 6.2.7-s1.2 y 6.3.x hasta 6.3.8 anterior a -s1 permiten a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro (1) table o (2) order.
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:webedition:webedition_cms:6.2.7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webedition:webedition_cms:6.3.3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webedition:webedition_cms:6.3.8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/126862/webEdition-CMS-6.3.8.0-svn6985-SQL-Injection.html
- http://seclists.org/fulldisclosure/2014/May/148
- http://www.securityfocus.com/archive/1/532231/100/0/threaded
- http://www.securityfocus.com/bid/67689
- http://www.webedition.org/de/aktuelles/allgemein/Wichtiges-Sicherheitsupdate-fuer-CMS-webEdition-veroeffentlicht
- https://www.redteam-pentesting.de/en/advisories/rt-sa-2014-005/-sql-injection-in-webedition-cms-file-browser
- http://packetstormsecurity.com/files/126862/webEdition-CMS-6.3.8.0-svn6985-SQL-Injection.html
- http://seclists.org/fulldisclosure/2014/May/148
- http://www.securityfocus.com/archive/1/532231/100/0/threaded
- http://www.securityfocus.com/bid/67689
- http://www.webedition.org/de/aktuelles/allgemein/Wichtiges-Sicherheitsupdate-fuer-CMS-webEdition-veroeffentlicht
- https://www.redteam-pentesting.de/en/advisories/rt-sa-2014-005/-sql-injection-in-webedition-cms-file-browser