Vulnerabilidad en Pandora FMS (CVE-2014-125115)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
25/07/2025
Última modificación:
29/07/2025
Descripción
Existe una vulnerabilidad de inyección SQL no autenticada en Pandora FMS versión 5.0 SP2 y anteriores. El endpoint mobile/index.php no depura correctamente la entrada del usuario en el parámetro loginhash_data, lo que permite a los atacantes extraer credenciales de administrador o tokens de sesión activa mediante solicitudes manipuladas. Esto se debe a que la entrada se concatena directamente en una consulta SQL sin la validación adecuada, lo que permite la inyección SQL. Tras eludir la autenticación, una segunda vulnerabilidad en el componente Administrador de Archivos permite la carga arbitraria de archivos PHP. La función de carga de archivos no aplica restricciones de tipo MIME ni de extensión de archivo, lo que permite a los usuarios autenticados cargar shells web en un directorio de acceso público y ejecutar código remoto.
Impacto
Puntuación base 4.0
10.00
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/linux/http/pandora_fms_sqli.rb
- https://web.archive.org/web/20140304121149/http://blog.pandorafms.org/?p=2041
- https://web.archive.org/web/20140331231237/http://pandorafms.com/downloads/whats_new_5-SP3.pdf
- https://www.exploit-db.com/exploits/35380
- https://www.vulncheck.com/advisories/pandora-fms-default-creds-sqli-rce