Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de inyección SQL en plugin SEUR

Fecha de publicación 10/10/2024
Identificador
INCIBE-2024-0504
Importancia
5 - Crítica
Recursos Afectados

Plugin de SEUR, versiones anteriores a 2.5.11.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad de severidad crítica que afecta al plugin desarrollado por SEUR, versiones 2.5.11 y anteriores, la cual ha sido descubierta por los investigadores Ángel Heredia Pérez y Daniel Collado Tomé, de Telefónica Tech.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-9201: 9.4 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CWE-89
Solución

Esta vulnerabilidad ya ha sido corregida por SEUR en la versión 2.5.11, publicada el 16/04/2024. La última versión disponible es la 2.5.14. SEUR recomienda a sus clientes conectarse a su plataforma para descargar y actualizar a la versión más actual del módulo.

Detalle

CVE-2024-9201: el plugin de SEUR, en sus versiones anteriores a la 2.5.11, es vulnerable a una inyección SQL basada en tiempo por medio del uso del parámetro “id_order” del endpoint “/modules/seur/ajax/saveCodFee.php”.

Listado de referencias