Vulnerabilidad en SEMCMS 3.9 (CVE-2023-48863)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

04/12/2023

Última modificación:

07/12/2023

Descripción

SEMCMS 3.9 es vulnerable a la inyección SQL. Debido a la falta de controles de seguridad en la entrada de la aplicación, el atacante utiliza la aplicación existente para inyectar comandos SQL maliciosos en el motor de la base de datos en segundo plano para su ejecución y envía algunos códigos de ataque como comandos o declaraciones de consulta al intérprete. Estos datos maliciosos pueden engañar al intérprete, ejecutando comandos no planificados o accediendo no autorizado a los datos.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno