Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Sherpa Orchestrator (CVE-2025-46546)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
25/04/2025
Última modificación:
29/04/2025

Descripción

En Sherpa Orchestrator 141851, un usuario autenticado puede realizar múltiples inyecciones SQL ciegas basadas en tiempo. Esto afecta a api/gui/asset/list, /api/gui/files/export/csv/, /api/gui/files/list, /api/gui/process/export/csv, /api/gui/process/export/xlsx, /api/gui/process/listAll, /api/gui/processVersion/export/csv/, /api/gui/processVersion/export/xlsx/, /api/gui/processVersion/list/, /api/gui/robot/list/, /api/gui/task/export/csv/, /api/gui/task/export/xlsx/ y /api/gui/task/list/.