Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad de inyección SQL en GESIO

Vulnerabilidad de inyección SQL en GESIO

Fecha de publicación: 
01/06/2020
Importancia: 
5 - Crítica
Recursos afectados: 

GESIO ERP, versiones anteriores a la 11.2.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en el software GESIO ERP, con el código interno INCIBE-2020-225, que ha sido descubierto por Francisco Palma, Luis Vázquez y Diego León.

Se ha asignado el código CVE-2020-8967 para esta vulnerabilidad. Se ha calculado una puntuación base de 10 según CVSS v3; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:H/RL:O/RC:C/CR:H/IR:H/AR:M/MAV:N/MAC:L/MPR:N/MUI:N/MS:C/MC:H/MI:H/MA:H.

Solución: 

Actualizar a la versión 11.2.

Detalle: 

GESIO ERP es vulnerable a una INYECCIÓN SQL en el parámetro URL "idsite", incluido en el archivo cms_plantilla_sites.php.

La explotación de esta vulnerabilidad podría permitir a un atacante remoto ejecutar, al menos, tres tipos de acciones:

  • ataque basado en error,
  • ataque basado en tiempo,
  • ataque por unión.

Debido a esta vulnerabilidad, un atacante podría ser capaz de recuperar toda la información de la base de datos.

GESIO ha desplegado las siguientes acciones para solucionar este problema:

  • Mejoras en los procedimientos internos.
  • Implementación de nuevos controles de programación anti-inyección en el frontend que estarán disponibles desde la versión 11.2.
  • Mejoras adicionales en las funciones del backend, que también estarán disponibles desde la versión 11.2.

CWE-89: Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL).

Línea temporal:

02/04/2019 – Descubrimiento de los investigadores.

08/04/2020 – Investigadores contactan con INCIBE.

21/04/2020 – El equipo de seguridad de GESIO confirma a INCIBE la vulnerabilidad, indicando que la versión de corrección y el parche del software de lanzamiento han sido publicados en la v11.2 (Parche de seguridad).

01/06/2020 – El aviso es publicado por INCIBE.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en el reporte de vulnerabilidades al CNA.

Encuesta valoración