Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad de inyección SQL en Ap Page Builder de LeoTheme

Fecha de publicación 18/07/2023
Identificador

INCIBE-2023-0282

Importancia
4 - Alta
Recursos Afectados

LeoTheme Ap Page Builder, versiones anteriores a 1.7.8.2.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a LeoTheme Ap Page Builder, la cual ha sido descubierta por David Manuel Herrera Rodríguez, del equipo de Telefónica Tech.

A esta vulnerabilidad se le ha asignado el siguiente código:

CVE-2023-3743

  • Puntuación base CVSS v3.1: 7.5.
  • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N.
  • Tipo de vulnerabilidad: CWE-89: neutralización incorrecta de elementos especiales utilizados en un comando SQL (inyección SQL).
Solución

Actualizar Ap Page Builder a la última versión disponible.

Detalle

CVE-2023-3743: esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta SQL especialmente diseñada al parámetro product_one_img y recuperar la información almacenada en la base de datos.

Listado de referencias
Ap Page Builder Prestashop Module
Etiquetas