Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en OpenSNS (CVE-2019-14266)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
25/07/2019
Última modificación:
29/07/2019

Descripción

OpenSNS versión 6.1.0 permite la inyección SQL a través del parámetro index.php?s=/ucenter/Config/ uid debido a la función getNeedQueryData en Application/Common/Model/UserModel.class.php.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:opensns:opensns:6.1.0:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información