Inyección SQL en Jorani

Inyección SQL en Jorani
cristian.cadenas
Lun, 29/05/2023 – 10:52

Recursos Afectados

Jorani versión 1.0.0.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta a Jorani, la cual ha sido descubierta por David Utón Amaya (m3n0sd0n4ld).

A esta vulnerabilidad se le ha asignado el código CVE-2023-2681.

Se ha calculado una puntuación base CVSS v3.1 de 8,8, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.

El tipo de vulnerabilidad es CWE-89: neutralización incorrecta de los elementos especiales utilizados en un comando SQL (inyección SQL).

4 – Alta
Solución

La vulnerabilidad ha sido solucionada en la versión 1.0.2, lanzada el 1 de mayo.

Detalle

Se ha reportado una vulnerabilidad de inyección SQL en la versión 1.0.0 de Jorani.

La explotación de esta vulnerabilidad podría permitir a un usuario remoto autenticado, con privilegios bajos, enviar consultas con código SQL malicioso en la ruta “*/leaves/validate*” y el parámetro “id”, consiguiendo extraer información arbitraria de la base de datos.

Ir a la fuente
Author: cristian.cadenas
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.