Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de inyección SQL en Primion-Digitek Secure 8

Fecha de publicación 18/06/2021
Importancia
5 - Crítica
Recursos Afectados

Secure 8 (Evalos), versión 1.0.1.55.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad en el sistema Secure 8, con el código interno INCIBE-2021-0243, que ha sido descubierta por Ander Martínez de Titanium Industrial Security.

A esta vulnerabilidad se le ha asignado el código CVE-2021-3604. Se ha calculado una puntuación base CVSS v3.1 de 9,8; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.

Solución

Esta vulnerabilidad ha sido resuelta por Primion-Digitek en Evalos 8 3.3.5.

Detalle

Primion-Digitek Secure 8 no valida correctamente los datos de entrada del usuario, lo que podría permitir a un atacante remoto realizar un ataque a ciegas por inyección SQL (Blind SQL Injection).

Un atacante podría explotar esta vulnerabilidad para extraer información de usuarios y cuentas de administrador almacenadas en la base de datos.

Esta vulnerabilidad ha sido resuelta por Primion-Digitek en Evalos8 3.3.5.

CWE 89: neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL).

Línea temporal:

14/12/2020 – Divulgación de los investigadores.
04/02/2021 – Los investigadores contactan con INCIBE.
05/05/2021 – Primion-Digitek confirma la vulnerabilidad a INCIBE y la publicación de la versión correctora y la nueva versión de software (security patch).
18/06/2021 – INCIBE publica el aviso.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración