Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en rConfig (CVE-2021-29004)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
11/10/2021
Última modificación:
16/10/2021

Descripción

rConfig versión 3.9.6, está afectado por una inyección SQL. Un usuario debe estar autenticado para explotar la vulnerabilidad. Si --secure-file-priv en el servidor MySQL no está configurado y el servidor Mysql es el mismo que rConfig, un atacante puede cargar con éxito un webshell en el servidor y acceder a él de forma remota

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:rconfig:rconfig:3.9.6:*:*:*:*:*:*:*