CVE

Vulnerabilidad en el uso de la concatenación de cadenas en OpenClinica (CVE-2022-24831)

Severidad:
CRÍTICA
Type:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
14/05/2022
Última modificación:
24/05/2022

Descripción

OpenClinica es un software de código abierto para la captura electrónica de datos (EDC) y la administración de datos clínicos (CDM). Las versiones anteriores a 3.16.1, son vulnerables a una inyección SQL debido al uso de la concatenación de cadenas para crear consultas SQL en lugar de sentencias preparadas. No se presentan medidas de mitigación conocidas. Este problema ha sido parcheado en versiones 3.16.1, 3.15.9, 3.14.1 y 3.13.1 y es recomendado a usuarios actualizar

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:openclinica:openclinica:*:*:*:*:*:*:*:* 3.13.1 (excluyendo)
cpe:2.3:a:openclinica:openclinica:*:*:*:*:*:*:*:* 3.15 (excluyendo) 3.15.9 (excluyendo)
cpe:2.3:a:openclinica:openclinica:*:*:*:*:*:*:*:* 3.16 (excluyendo) 3.16.1 (excluyendo)
cpe:2.3:a:openclinica:openclinica:3.14:*:*:*:*:*:*:*