Vulnerabilidad en la comprobación de entrada en algunos parámetros de consulta en un área reservada en el servicio web en Desigo Insight (CVE-2020-15792)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
15/10/2020
Última modificación:
15/06/2022
Descripción
Se ha identificado una vulnerabilidad en Desigo Insight (todas las versiones). El servicio web no aplica apropiadamente la comprobación de entrada para algunos parámetros de consulta en un área reservada. Esto podría permitir a un atacante autenticado recuperar datos por medio de un ataque de inyección SQL ciego basado en contenido
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:siemens:desigo_insight:*:*:*:*:*:*:*:* | 6.0 (excluyendo) | |
| cpe:2.3:a:siemens:desigo_insight:6.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:siemens:desigo_insight:6.0:sp2:*:*:*:*:*:* | ||
| cpe:2.3:a:siemens:desigo_insight:6.0:sp3:*:*:*:*:*:* | ||
| cpe:2.3:a:siemens:desigo_insight:6.0:sp5:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página