Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en SL1 de ScienceLogic (CVE-2022-48598)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
09/08/2023
Última modificación:
07/11/2023

Descripción

Existe una vulnerabilidad de inyección SQL en la función "reporter events type date" en SL1 de ScienceLogic que toma la entrada no saneada controlada por el usuario y la pasa directamente a una consulta SQL. Esto permite la inyección de SQL arbitrario antes de ser ejecutado contra la base de datos.<br />

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:sciencelogic:sl1:*:*:*:*:*:*:*:* 11.1.2 (incluyendo)


Referencias a soluciones, herramientas e información