Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en open-scratch Teaching ?????? (CVE-2024-10546)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
30/10/2024
Última modificación:
01/11/2024

Descripción

Se ha encontrado una vulnerabilidad clasificada como crítica en open-scratch Teaching ?????? hasta la versión 2.7. Esta vulnerabilidad afecta al código desconocido del archivo /api/sys/ng-alain/getDictItemsByTable/ del componente URL Handler. La manipulación conduce a una inyección SQL. El ataque se puede iniciar de forma remota. El exploit se ha divulgado al público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta divulgación, pero no respondió de ninguna manera.