Vulnerabilidad en la zona WAN en los dispositivos de Firewall Sophos XG en SFOS. (CVE-2020-12271)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
27/04/2020
Última modificación:
03/04/2025
Descripción
Se descubrió´ un problema de inyección SQL en SFOS versiones 17.0, 17.1, 17.5 y versiones 18.0 antes del 25-04-2020, en los dispositivos Firewall Sophos XG, tal como se explotó "in the wild" en abril de 2020. Esto afectó a los dispositivos configurados con el servicio de administración (HTTPS) o el Portal de Usuario expuesto en la zona WAN. Un ataque con éxito puede haber filtrado nombres de usuario y contraseñas del hash a los administradores de los dispositivos locales, los administradores del portal y las cuentas de usuario usadas para el acceso remoto (pero no las contraseñas externas de Active Directory o LDAP).
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:sophos:sfos:17.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:sophos:sfos:17.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:sophos:sfos:17.5:*:*:*:*:*:*:* | ||
| cpe:2.3:o:sophos:sfos:18.0:*:*:*:*:*:*:* | ||
| cpe:2.3:h:sophos:xg_firewall:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página