Vulnerabilidad en el parámetro UserForm:j_id90 en el archivo /SVFE2/pages/feegroups/mcc_group.jsf en SmartVista SVFE2 (CVE-2022-38619)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
21/09/2022
Última modificación:
28/05/2025
Descripción
Se ha descubierto que SmartVista SVFE2 versión v2.2.22, contiene una vulnerabilidad de inyección SQL por medio del parámetro UserForm:j_id90 en el archivo /SVFE2/pages/feegroups/mcc_group.jsf
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:bpcbt:smartvista_front-end:2.2.22:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://bpcbt.com
- http://smartvista.com
- https://dtro.gitbook.io/note_cve/sql-injection-in-terminal-mcc-group-feature-of-smartvista-svfe2-version-2.2.22-cve-2022-38619
- http://bpcbt.com
- http://smartvista.com
- https://dtro.gitbook.io/note_cve/sql-injection-in-terminal-mcc-group-feature-of-smartvista-svfe2-version-2.2.22-cve-2022-38619