Vulnerabilidad en Cisco Prime Service Catalog (CVE-2017-12364)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
30/11/2017
Última modificación:
20/04/2025
Descripción
Una vulnerabilidad de inyección SQL en el framework web de Cisco Prime Service Catalog podría permitir que un atacante remoto no autenticado ejecute consultas SQL (Structured Query Language) no autorizadas. Esto se debe a la imposibilidad de validar entradas proporcionadas por el usuario empleadas en consultas SQL. Un atacante podría explotar esta vulnerabilidad enviando una instrucción SQL manipulada a un dispositivo afectado. La explotación con éxito podría permitir que el atacante lea entradas en algunas tablas de bases de datos. Cisco Bug IDs: CSCvg30333.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:prime_service_catalog:11.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:prime_service_catalog:12.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:prime_service_catalog:12.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/102004
- http://www.securitytracker.com/id/1039926
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-prime
- http://www.securityfocus.com/bid/102004
- http://www.securitytracker.com/id/1039926
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-prime