Vulnerabilidad en el encabezado Cookie en el URI predeterminado en el archivo includes/authenticate.inc.php en Observium Professional, Enterprise & Community (CVE-2020-25132)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
25/09/2020
Última modificación:
30/09/2020
Descripción
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable a una inyección SQL debido al hecho de que es posible inyectar sentencias SQL maliciosas en tipos de parámetros malformados. Al enviar la Matriz tipo variable inapropiada permite omitir el saneamiento de la inyección SQL principal. Los usuarios son capaces de inyectar sentencias maliciosas en múltiples funciones. Esta vulnerabilidad conlleva a una omisión total de la autenticación: cualquier usuario no autorizado con acceso a la aplicación es capaz de explotar esta vulnerabilidad. Esto puede ocurrir mediante el encabezado Cookie en el URI predeterminado, dentro del archivo includes/authenticate.inc.php
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:observium:observium:20.8.10631:*:*:*:community:*:*:* | ||
| cpe:2.3:a:observium:observium:20.8.10631:*:*:*:enterprise:*:*:* | ||
| cpe:2.3:a:observium:observium:20.8.10631:*:*:*:professional:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página