Vulnerabilidad de inyección SQL en el software MegaBIP
julio 15, 2024
Identificación CVE | CVE-2024-6527 |
Fecha de publicación | 09 de julio de 2024 |
Proveedor | Jan Syski |
Producto | MegaBIP |
Versiones vulnerables | Todo a través de 5.13 |
Tipo de vulnerabilidad (CWE) | Neutralización incorrecta de elementos especiales utilizados en un comando SQL (‘Inyección SQL’) (CWE-89) |
Fuente del informe | Investigación propia |
Descripción
Durante su propia investigación, CERT Polska encontró otra vulnerabilidad en el software MegaBIP y participó en la coordinación de su divulgación.
Vulnerabilidad de inyección SQL CVE-2024-6527 en el parámetro «w» manejado en el archivo «druk.php» en el software MegaBIP permite a un atacante no autorizado revelar el contenido de la base de datos y obtener el token del administrador para modificar el contenido de las páginas.
Este problema afecta a las versiones del software MegaBIP hasta la 5.13.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/en/cvd/.