Vulnerabilidad en i-Educar (CVE-2024-45059)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
28/08/2024
Última modificación:
13/09/2024
Descripción
i-Educar es un software de gestión escolar gratuito y completamente online que permite a las secretarias, profesores, coordinadores y responsables de área de la escuela crear una consulta SQL a partir de una concatenación de un parámetro GET controlado por el usuario, lo que permite a un atacante manipular la consulta. La explotación exitosa de esta falla permite a un atacante tener acceso completo y sin restricciones a la base de datos, con un usuario web con permisos mínimos. Esto puede implicar la obtención de información del usuario, como correos electrónicos, hashes de contraseñas, etc. Este problema aún no ha sido parcheado. Se recomienda a los usuarios que se pongan en contacto con el desarrollador y que coordinen un cronograma de actualización.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:portabilis:i-educar:*:*:*:*:*:*:*:* | 2.9 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html
- https://github.com/portabilis/i-educar/commit/7824b95745fa2da6476b9901041d9c854bf52ffe
- https://github.com/portabilis/i-educar/security/advisories/GHSA-2v4w-7xqr-hxmr
- https://portswigger.net/web-security/sql-injection