CVE-2018-7841
CVE-2018-7841
En resumen
U.motion Builder versión 1.3.4 permite que atacantes inyecten código SQL malicioso mediante caracteres inapropiados, pudiendo acceder ilegalmente a la base de datos o ejecutar comandos no autorizados en el sistema.
Detalle técnico
Vulnerabilidad de inyección SQL en U.motion Builder 1.3.4 permite que atacantes remotos ejecuten consultas SQL arbitrarias mediante entrada especialmente formateada que elude la validación de datos, posibilitando acceso no autorizado a la base de datos, exfiltración de datos o ejecución de código según permisos de la base de datos.
Resumen generado y traducido por IA a partir de la descripción oficial.
A SQL Injection (CWE-89) vulnerability exists in U.motion Builder software version 1.3.4 which could cause unwanted code execution when an improper set of characters is entered.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
U.motion · U.motion Builder software version 1.3.4PoCs públicas encontradas — 2
cve_referencepacketstormsecurity.com/files/152862/Schneider-Electric-U.Motion-Builder-1.3.4-Command-Injection.htmlno verificadoexploitdbwww.exploit-db.com/exploits/46846no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://packetstormsecurity.com/files/152862/Schneider-Electric-U.Motion-Builder-1.3.4-Command-Injection.htmlhttp://seclists.org/fulldisclosure/2019/May/26https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2018-7841https://www.schneider-electric.com/ww/en/download/document/SEVD-2019-071-02