Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en code-projects University Event Management System 1.0 (CVE-2024-10700)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
02/11/2024
Última modificación:
05/11/2024

Descripción

Se ha encontrado una vulnerabilidad en code-projects University Event Management System 1.0. Se ha declarado como crítica. Esta vulnerabilidad afecta al código desconocido del archivo send.php. La manipulación del argumento name/email/title/Year/gender/fromdate/todate/people conduce a una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse. El aviso inicial para investigadores solo menciona el parámetro "name" que se verá afectado. Pero se debe asumir que también se verán afectados otros parámetros.

Impacto

Puntuación base 4.0
5.30
Gravedad 4.0
MEDIA
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:anisha:university_event_management_system:1.0:*:*:*:*:*:*:*