CVE-2023-53972

ALT (8,2)

CVSS3: 0,0

WebTareas 2.4 conté una vulnerabilitat d’injecció SQL en el paràmetre de galeta webTareasSID que permet que els atacants no autenticats manipulin consultes de bases de dades. Els atacants poden explotar tècniques d’injecció SQL cega basades en errors i en el temps per extreure informació de la base de dades i potencialment accedir a dades delicades del sistema.

post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}

Sistemes Afectats

• luiswang WebTareas 2.4

Remediació
Vegeu-ne les Referències.

Referències

• https://www.exploit-db.com/exploits/51087
• https://sourceforge.net/projects/webtareas/
• https://www.vulncheck.com/advisories/webtareas-unauthenticated-sql-injection-via-session-cookie-parameter
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2023/53xxx/CVE-2023-53972.json