CVE

Vulnerabilidad en Piccolo (CVE-2023-47128)

Severidad:

CRÍTICA

Type:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

10/11/2023

Última modificación:

20/11/2023

Descripción

Piccolo es un generador de consultas y mapeo relacional de objetos que admite asyncio. Antes de la versión 1.1.1, el manejo de "savepoints" de transacciones con nombre en todas las implementaciones de bases de datos es vulnerable a la inyección SQL a través de cadenas f. Si bien la probabilidad de que un desarrollador final exponga un parámetro de "name" de "savepoints" a un usuario es muy poco probable, no sería algo inaudito. Si un usuario malintencionado pudiera abusar de esta funcionalidad, tendría esencialmente acceso directo a la base de datos y la capacidad de modificar los datos al nivel de permisos asociados con el usuario de la base de datos. Una lista no exhaustiva de acciones posibles según los permisos de la base de datos es: Leer todos los datos almacenados en la base de datos, incluidos los nombres de usuario y los hashes de contraseñas; insertar datos arbitrarios en la base de datos, incluida la modificación de registros existentes; y obtener un shell en el servidor subyacente. La versión 1.1.1 soluciona este problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno