Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Microsoft Dynamics 365 Customer Engagement (on-premises) (CVE-2025-58112)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
18/03/2026
Última modificación:
19/03/2026

Descripción

Microsoft Dynamics 365 Customer Engagement (local) 1612 (9.0.2.3034) permite la generación de informes personalizados a través de consultas SQL sin procesar en una carga de un archivo .rdl (Report Definition Language); esto es luego procesado por el SQL Server Reporting Service. Una cuenta con el privilegio Agregar informes de Reporting Services puede cargar un archivo rdl malicioso. Si el archivo rdl malicioso ya está cargado y es ejecutable por el usuario, el privilegio Agregar informes de Reporting Services no es necesario. Un actor malicioso puede desencadenar la generación del informe, causando la ejecución de comandos SQL arbitrarios en la base de datos subyacente. Dependiendo de los permisos de la cuenta que ejecuta SQL Server Reporting Services, el atacante puede ser capaz de realizar acciones adicionales, como acceder a servidores vinculados o ejecutar comandos del sistema operativo.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
8.80
Gravedad 3.x
ALTA

Referencias a soluciones, herramientas e información