Vulnerabilidad en el parámetro id del sistema Online Enrollment Management System (CVE-2021-44599)
Severidad:
ALTA
Type:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
23/12/2021
Última modificación:
04/01/2022
Descripción
El parámetro id del sistema Online Enrollment Management System versión 1.0, parece ser vulnerable a ataques de inyección SQL. Una carga útil diseñada inyecta una subconsulta SQL que llama a la función load_file de MySQL con una ruta de archivo UNC que hace referencia a una URL en un dominio externo. La aplicación interactuó con ese dominio, indicando que la consulta SQL inyectada fue ejecutada. El atacante puede recuperar información confidencial de todos los usuarios de este sistema
Impacto
Puntuación base 3.x
7.50
Severidad 3.x
ALTA
Puntuación base 2.0
5.00
Severidad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:online_enrollment_management_system_project:online_enrollment_management_system:1.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página