Vulnerabilidad en una petición HTTP POST en la base de datos en CIPPlanner CIPAce (CVE-2020-11597)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
06/04/2020
Última modificación:
07/04/2020
Descripción
Se detectó un problema en CIPPlanner CIPAce versión 9.1 Build 2019092801. Un atacante no autenticado puede hacer una petición HTTP POST e inyectar sentencias SQL en el contexto del usuario del propietario de la base de datos.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:cipplanner:cipace:*:*:*:*:*:*:*:* | 9.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página