Inicio / Alerta Temprana / Vulnerabilidades / CVE-2021-42258

Vulnerabilidad en BQE BillQuick Web Suite (CVE-2021-42258)

Tipo: 
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Gravedad: 
Media
Fecha publicación : 
22/10/2021
Última modificación: 
28/10/2021
Descripción
BQE BillQuick Web Suite versiones 2018 hasta 2021 anteriores a 22.0.9.1, permite una inyección SQL para una ejecución de código remota sin autenticación, como es explotada "in the wild" en octubre de 2021 para la instalación de ransomware. Una inyección SQL puede, por ejemplo, usar el parámetro txtID (también se conoce como nombre de usuario). Una explotación con éxito puede incluir la habilidad de ejecutar código arbitrario como MSSQLSERVER$ por medio de xp_cmdshell
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:bqe:billquick_web_suite:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos