Vulnerabilidad en el envío de peticiones en la interfaz de usuario web de Cisco Cloud Web Security (CWS) (CVE-2020-3154)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
19/02/2020
Última modificación:
24/02/2020
Descripción
Una vulnerabilidad en la interfaz de usuario web de Cisco Cloud Web Security (CWS), podría permitir a un atacante remoto autenticado ejecutar consultas SQL arbitrarias. La vulnerabilidad se presenta porque la interfaz de administración basada en web comprueba inapropiadamente los valores de SQL. Un atacante autenticado podría explotar esta vulnerabilidad mediante el envío de peticiones maliciosas al dispositivo afectado. Una explotación podría permitir al atacante modificar valores o devolver valores de la base de datos subyacente.
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:cloud_web_security:5.2\(0\):*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página