CVE-2021-33731

EPSS 46.6%CWE-89

En resumen

Un usuario privilegiado con acceso a SINEC NMS puede enviar solicitudes especialmente preparadas al servidor web para ejecutar comandos no autorizados en la base de datos local. Esto permite que una amenaza interna comprometa la integridad de la base de datos y potencialmente robe o modifique datos críticos de gestión de red.

Detalle técnico

Vulnerabilidad de inyección SQL en el servidor web de SINEC NMS permite que usuarios autenticados con privilegios elevados ejecuten comandos SQL arbitrarios contra la base de datos local. El ataque requiere credenciales de autenticación válidas y solicitudes HTTP manipuladas; la explotación exitosa resulta en acceso no autorizado a la base de datos y potencial robo o modificación de datos.

Resumen generado y traducido por IA a partir de la descripción oficial.

A vulnerability has been identified in SINEC NMS (All versions < V1.0 SP2 Update 1). A privileged authenticated attacker could execute arbitrary commands in the local database by sending crafted requests to the webserver of the affected application.

Productos afectados

Siemens · SINEC NMS

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://cert-portal.siemens.com/productcert/pdf/ssa-163251.pdf