CVE-2021-20016

CVSS 9.8 CRITICALEPSS 40.0%● KEVCWE-89

En resumen

Una falla de inyección SQL en SonicWall SSLVPN SMA100 permite que un atacante sin credenciales de inicio de sesión inyecte comandos SQL maliciosos y robe nombres de usuario, contraseñas y datos de sesión. Es crítico porque los atacantes pueden comprometer cuentas de usuario y obtener acceso no autorizado al sistema VPN.

Detalle técnico

Una vulnerabilidad de inyección SQL (CWE-89) en SonicWall SSLVPN SMA100 versión build 10.x permite que atacantes remotos no autenticados ejecuten consultas SQL arbitrarias mediante sanitización inadecuada de entrada, permitiendo la extracción de datos sensibles incluyendo credenciales y tokens de sesión. El ataque no requiere autenticación previa e impacta los componentes centrales de autenticación y gestión de sesiones.

Resumen generado y traducido por IA a partir de la descripción oficial.

A SQL-Injection vulnerability in the SonicWall SSLVPN SMA100 product allows a remote unauthenticated attacker to perform SQL query to access username password and other session related information. This vulnerability impacts SMA100 build version 10.x.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

SonicWall · SonicWall SMA100

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-20016