Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el parámetro session_id en el archivo /include/chart_generator.php en el componente pandora_console de Artica Pandora FMS (CVE-2021-32099)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
07/05/2021
Última modificación:
11/05/2021

Descripción

Una vulnerabilidad de inyección SQL en el componente pandora_console de Artica Pandora FMS, permite a un atacante no autenticado actualizar su sesión sin privilegios por medio del parámetro session_id en el archivo /include/chart_generator.php, conllevando a un desvío de inicio de sesión

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:artica:pandora_fms:742:*:*:*:*:*:*:*