Vulnerabilidad en los valores de SQL en la Interfaz de Usuario web del software Cisco SD-WAN Solution vManage (CVE-2019-16012)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
19/03/2020
Última modificación:
23/05/2023
Descripción
Una vulnerabilidad en la Interfaz de Usuario web del software Cisco SD-WAN Solution vManage, podría permitir a un atacante remoto autenticado conducir ataques de inyección SQL en un sistema afectado. La vulnerabilidad se presenta porque la Interfaz de Usuario web comprueba inapropiadamente los valores de SQL. Un atacante podría explotar esta vulnerabilidad al autenticarse en la aplicación y al enviar consultas SQL maliciosas hacia un sistema afectado. Una explotación con éxito podría permitir al atacante modificar valores o devolver valores desde la base de datos subyacente, así como desde el sistema operativo.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
8.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:sd-wan_firmware:*:*:*:*:*:*:*:* | 19.2.2 (excluyendo) | |
| cpe:2.3:h:cisco:1100-4g_integrated_services_router:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:1100-4gltegb_integrated_services_router:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:1100-4gltena_integrated_services_router:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:1100-6g_integrated_services_router:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge_100:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge_1000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge_100b:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge_100m:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge_100wm:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge_2000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:vedge_5000:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página