Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en CPDB en LimeSurvey 2.05+ (CVE-2014-5017)

Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
21/07/2014
Última modificación:
12/04/2025

Descripción

Vulnerabilidad de inyección SQL en CPDB en application/controllers/admin/participantsaction.php en LimeSurvey 2.05+ Build 140618 permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro sidx en una solicitud JSON en admin/participants/sa/getParticipants_json, relacionado con un parámetro de búsqueda.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:limesurvey:limesurvey:2.05\+:*:*:*:*:*:*:*