Vulnerabilidad en dns-stats hedgehog (CVE-2021-4276)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

25/12/2022

Última modificación:

03/08/2024

Descripción

** NO SOPORTADO CUANDO ESTÁ ASIGNADO ** Se encontró una vulnerabilidad en dns-stats hedgehog. Ha sido calificada como problemática. La función DSCIOManager::dsc_import_input_from_source del archivo src/DSCIOManager.cpp es afectada por esta vulnerabilidad. La manipulación conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. Por el momento todavía se duda de la existencia real de esta vulnerabilidad. El nombre del parche es 58922c345d3d1fe89bb2020111873a3e07ca93ac. Se recomienda aplicar un parche para solucionar este problema. VDB-216746 es el identificador asignado a esta vulnerabilidad. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el fabricante. NOTA: Asumimos que solo usuarios autorizados pueden acceder al servidor de Data Manager. Debido a esto, no creemos que este ataque específico sea posible sin comprometer el servidor de Data Manager.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto