Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Inyección de código en VisualCounter I.Stats

Fecha de publicación 14/11/2023
Identificador
INCIBE-2023-0495
Importancia
5 - Crítica
Recursos Afectados

VisualCounter I.Stats, versión 7.3.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a I.Stats de VisualCounter, una herramienta de gestión estadística de datos de afluencia de clientes en zonas comerciales,  y que ha sido descubierta por Ignacio García Mestre (Br4v3n).

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2023-5518: CVSS v3.1: 9.8 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89.
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2023-5518: se ha encontrado una vulnerabilidad de inyección SQL en VisualCounter que afecta a la aplicación I.Stats en su versión 7.3. Esta vulnerabilidad permite a un usuario remoto recuperar datos confidenciales, almacenados en la base de datos, enviando una consulta especialmente diseñada a los parámetros de inicio de sesión.
Listado de referencias
Ficha de producto - I.Stats
Etiquetas