Inicio / Alerta Temprana / Vulnerabilidades / CVE-2021-40842

Vulnerabilidad en la entrada del parámetro del nombre de la base de datos en Proofpoint Insider Threat Management Server (CVE-2021-40842)

Tipo: 
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Gravedad: 
Alta
Fecha publicación : 
13/10/2021
Última modificación: 
19/10/2021
Descripción
Proofpoint Insider Threat Management Server contiene una vulnerabilidad de inyección SQL en la consola web. La vulnerabilidad se presenta debido a que no se comprueba la entrada del parámetro del nombre de la base de datos que se requiere en determinadas API no autenticadas. Una URL maliciosa visitada por cualquier persona con acceso a la red del servidor podría ser usada para ejecutar ciegamente sentencias SQL arbitrarias en la base de datos del backend. La versión 7.12.0 y todas las versiones anteriores a 7.11.2 están afectadas
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:proofpoint:insider_threat_management_server:7.12.0:*:*:*:*:*:*:*
  • cpe:2.3:a:proofpoint:insider_threat_management_server:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos