Vulnerabilidad en consultas SQL en la interfaz web para Cisco SD-WAN Solution vManage (CVE-2019-12619)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
26/01/2020
Última modificación:
29/01/2020
Descripción
Una vulnerabilidad en la interfaz web para Cisco SD-WAN Solution vManage, podría permitir a un atacante remoto autenticado impactar la integridad de un sistema afectado mediante una ejecución de consultas SQL arbitrarias. La vulnerabilidad es debido a una comprobación insuficiente de las entradas suministradas por el usuario. Un atacante podría explotar esta vulnerabilidad mediante el envío de entradas diseñadas que incluyen sentencias SQL hacia un sistema afectado. Una explotación con éxito podría permitir al atacante modificar entradas en algunas tablas de la base de datos, afectando la integridad de los datos.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:sd-wan_firmware:*:*:*:*:*:*:*:* | 17.2.0 (incluyendo) | |
| cpe:2.3:h:cisco:vedge-100:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge-1000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge-100b:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge-2000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge-5000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge_100m:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge_100wm:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página