Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Inyección SQL en productos SonicWall

Fecha de publicación 25/07/2022
Identificador

INCIBE-2022-0851

Importancia
5 - Crítica
Recursos Afectados
  • GMS, versiones 9.3.1-SP2-Hotfix1 y anteriores;
  • Analytics, versiones 2.5.0.3-2520 y anteriores.
Descripción

H4lo y Catalpa, investigadores de Hatlab DBappSecurity, han reportado una vulnerabilidad de severidad crítica en productos SonicWall.

Solución

Actualizar a:

  • GMS, versión 9.3.1-SP2-Hotfix-2;
  • Analytics, versión 2.5.0.3-2520-Hotfix1.
Detalle

La neutralización inadecuada de elementos especiales utilizados en un comando SQL podría ocasionar una vulnerabilidad de inyección SQL por parte de un atacante no autenticado. La probabilidad de explotación podría reducirse incorporando un WAF. Se ha asignado el identificador CVE-2022-22280 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
SNWLID-2022-0007 Unauthenticated SQL Injection in SonicWall GMS and Analytics
Etiquetas