Inyección SQL en Jorani
INCIBE-2023-0196
Jorani versión 1.0.0.
INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta a Jorani, una aplicación para gestionar las ausencias laborales, la cual ha sido descubierta por David Utón Amaya (m3n0sd0n4ld).
A esta vulnerabilidad se le ha asignado el código CVE-2023-2681.
Se ha calculado una puntuación base CVSS v3.1 de 8,8, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.
El tipo de vulnerabilidad es CWE-89: neutralización incorrecta de los elementos especiales utilizados en un comando SQL (inyección SQL).
La vulnerabilidad ha sido solucionada en la versión 1.0.2, lanzada el 1 de mayo.
Se ha reportado una vulnerabilidad de inyección SQL en la versión 1.0.0 de Jorani.
La explotación de esta vulnerabilidad podría permitir a un usuario remoto autenticado, con privilegios bajos, enviar consultas con código SQL malicioso en la ruta "/leaves/validate" y el parámetro "id", consiguiendo extraer información arbitraria de la base de datos.