Vulnerabilidad de inyección SQL en el software MegaBIP
julio 24, 2024
Identificación CVE | CVE-2024-6160 |
Fecha de publicación | 24 de junio de 2024 |
Proveedor | Jan Syski |
Producto | MegaBIP |
Versiones vulnerables | Todo hasta 5.12.1 |
Tipo de vulnerabilidad (CWE) | Neutralización incorrecta de elementos especiales utilizados en un comando SQL (‘Inyección SQL’) (CWE-89) |
Fuente del informe | Investigación propia |
Descripción
Durante su propia investigación, CERT Polska encontró una vulnerabilidad en el software MegaBIP y participó en la coordinación de su divulgación.
La vulnerabilidad CVE-2024-6160 permite a un usuario no autenticado realizar ataques de inyección SQL en el software MegaBIP, lo que podría dar como resultado la divulgación de contenido de la base de datos, la obtención de cookies de sesión o la modificación del contenido de las páginas. Este problema afecta a las versiones del software MegaBIP hasta la 5.12.1.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/en/cvd/.