Vulnerabilidad en la entrada suministrada por el usuario en Advantech WISE-PaaS/RMM (CVE-2019-18229)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
31/10/2019
Última modificación:
13/05/2021
Descripción
Advantech WISE-PaaS/RMM, versiones 3.3.29 y anteriores. Una falta de saneamiento de la entrada suministrada por el usuario causa vulnerabilidades de inyección SQL. Un atacante puede aprovechar estas vulnerabilidades para divulgar información.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:advantech:wise-paas\/rmm:*:*:*:*:*:*:*:* | 3.3.29 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://www.us-cert.gov/ics/advisories/icsa-19-304-01
- https://www.zerodayinitiative.com/advisories/ZDI-19-937/
- https://www.zerodayinitiative.com/advisories/ZDI-19-938/
- https://www.zerodayinitiative.com/advisories/ZDI-19-940/
- https://www.zerodayinitiative.com/advisories/ZDI-19-948/
- https://www.zerodayinitiative.com/advisories/ZDI-19-949/
- https://www.zerodayinitiative.com/advisories/ZDI-19-951/
- https://www.zerodayinitiative.com/advisories/ZDI-19-952/
- https://www.zerodayinitiative.com/advisories/ZDI-19-955/
- https://www.zerodayinitiative.com/advisories/ZDI-19-956/
- https://www.zerodayinitiative.com/advisories/ZDI-19-957/