Vulnerabilidad en SL1 de ScienceLogic (CVE-2022-48591)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
09/08/2023
Última modificación:
07/11/2023
Descripción
Existe una vulnerabilidad de inyección SQL en el parámetro vendor_state de la función "vendor print report" de SL1 de ScienceLogic que toma una entrada no desinfectada controlada por el usuario y la pasa directamente a una consulta SQL. Esto permite la inyección de SQL arbitrario antes de ser ejecutado contra la base de datos.<br />
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:sciencelogic:sl1:*:*:*:*:*:*:*:* | 11.1.2 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página