cristian.cadenas
Lun, 29/05/2023 – 10:52
Jorani versión 1.0.0.
INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta a Jorani, la cual ha sido descubierta por David Utón Amaya (m3n0sd0n4ld).
A esta vulnerabilidad se le ha asignado el código CVE-2023-2681.
Se ha calculado una puntuación base CVSS v3.1 de 8,8, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.
El tipo de vulnerabilidad es CWE-89: neutralización incorrecta de los elementos especiales utilizados en un comando SQL (inyección SQL).
La vulnerabilidad ha sido solucionada en la versión 1.0.2, lanzada el 1 de mayo.
Se ha reportado una vulnerabilidad de inyección SQL en la versión 1.0.0 de Jorani.
La explotación de esta vulnerabilidad podrÃa permitir a un usuario remoto autenticado, con privilegios bajos, enviar consultas con código SQL malicioso en la ruta “*/leaves/validate*” y el parámetro “id”, consiguiendo extraer información arbitraria de la base de datos.
Ir a la fuente
Author: cristian.cadenas
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.