Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Mocodo Mocodo Online (CVE-2024-35374)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
24/05/2024
Última modificación:
20/08/2024

Descripción

Mocodo Mocodo Online 4.2.6 y versiones anteriores no desinfecta adecuadamente el campo de entrada sql_case en /web/generate.php, lo que permite a atacantes remotos ejecutar comandos SQL arbitrarios y potencialmente inyección de comandos, lo que lleva a la ejecución remota de código (RCE) bajo ciertas condiciones.