Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Cache Service API (CVE-2023-26440)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
02/08/2023
Última modificación:
12/01/2024

Descripción

Se podía abusar de la API de Cache Service para inyectar indirectamente parámetros con sintaxis SQL que no estaban suficientemente sanitizados y que posteriormente se ejecutaban al crear nuevos grupos de caché. Los atacantes con acceso a una red local o restringida podían realizar consultas SQL arbitrarias. Se ha mejorado la comprobación de entrada de las llamadas a la API y el filtro de contenido potencialmente malicioso. No se conocen exploits disponibles públicamente.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:open-xchange:open-xchange_appsuite_office:*:*:*:*:*:*:*:* 8.11 (excluyendo)