Vulnerabilidad de inyección SQL en GESIO
GESIO ERP, versiones anteriores a la 11.2.
INCIBE ha coordinado la publicación de una vulnerabilidad en el software GESIO ERP, con el código interno INCIBE-2020-225, que ha sido descubierto por Francisco Palma, Luis Vázquez y Diego León.
Se ha asignado el código CVE-2020-8967 para esta vulnerabilidad. Se ha calculado una puntuación base de 10 según CVSS v3; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:H/RL:O/RC:C/CR:H/IR:H/AR:M/MAV:N/MAC:L/MPR:N/MUI:N/MS:C/MC:H/MI:H/MA:H.
Actualizar a la versión 11.2.
GESIO ERP es vulnerable a una INYECCIÓN SQL en el parámetro URL "idsite", incluido en el archivo cms_plantilla_sites.php.
La explotación de esta vulnerabilidad podría permitir a un atacante remoto ejecutar, al menos, tres tipos de acciones:
- ataque basado en error,
- ataque basado en tiempo,
- ataque por unión.
Debido a esta vulnerabilidad, un atacante podría ser capaz de recuperar toda la información de la base de datos.
GESIO ha desplegado las siguientes acciones para solucionar este problema:
- Mejoras en los procedimientos internos.
- Implementación de nuevos controles de programación anti-inyección en el frontend que estarán disponibles desde la versión 11.2.
- Mejoras adicionales en las funciones del backend, que también estarán disponibles desde la versión 11.2.
CWE-89: Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL).
Línea temporal:
02/04/2019 – Descubrimiento de los investigadores.
08/04/2020 – Investigadores contactan con INCIBE.
21/04/2020 – El equipo de seguridad de GESIO confirma a INCIBE la vulnerabilidad, indicando que la versión de corrección y el parche del software de lanzamiento han sido publicados en la v11.2 (Parche de seguridad).
01/06/2020 – El aviso es publicado por INCIBE.
Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.
