Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Issuetracker phpBugTracker (CVE-2015-2146)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
06/10/2017
Última modificación:
20/04/2025

Descripción

Múltiples vulnerabilidades de inyección SQL en Issuetracker phpBugTracker en versiones anteriores a la 1.7.0 permiten que atacantes remotos ejecuten comandos SQL arbitrarios mediante el (1) parámetro id en project.php, el (2) parámetro group_id en group.php, el (3) parámetro status_id en status.php, el (4) parámetro resolution_id en resolution.php, el (5) parámetro severity_id en severity.php, el (6) parámetro priority_id en priority.php, el (7) parámetro os_id en os.php o el (8) parámetro site_id en site.php.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:phpbugtracker_project:phpbugtracker:*:*:*:*:*:*:*:* 1.6.0 (incluyendo)