Vulnerabilidad en la zona WAN en los dispositivos de Firewall Sophos XG en SFOS. (CVE-2020-12271)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
27/04/2020
Última modificación:
07/11/2025
Descripción
Se descubrió´ un problema de inyección SQL en SFOS versiones 17.0, 17.1, 17.5 y versiones 18.0 antes del 25-04-2020, en los dispositivos Firewall Sophos XG, tal como se explotó "in the wild" en abril de 2020. Esto afectó a los dispositivos configurados con el servicio de administración (HTTPS) o el Portal de Usuario expuesto en la zona WAN. Un ataque con éxito puede haber filtrado nombres de usuario y contraseñas del hash a los administradores de los dispositivos locales, los administradores del portal y las cuentas de usuario usadas para el acceso remoto (pero no las contraseñas externas de Active Directory o LDAP).
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:sophos:sfos:17.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:sophos:sfos:17.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:sophos:sfos:17.5:*:*:*:*:*:*:* | ||
| cpe:2.3:o:sophos:sfos:18.0:*:*:*:*:*:*:* | ||
| cpe:2.3:h:sophos:xg_firewall:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://community.sophos.com/kb/en-us/135412
- https://cwe.mitre.org/data/definitions/89.html
- https://news.sophos.com/en-us/2020/04/26/asnarok/
- https://community.sophos.com/kb/en-us/135412
- https://cwe.mitre.org/data/definitions/89.html
- https://news.sophos.com/en-us/2020/04/26/asnarok/
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-12271