Divalia S.A de C.V  descubrió dos vulnerabilidades de inyección de SQL en la pagina del Gobierno del Estado de Querétaro, que pueden ser explotadas para realizar ataques de inyección SQL. Ambas vulnerabilidades requieren privilegios de usuario, sin embargo también puede ser explotada por atacantes no autenticados mediante vectores CSRF.

Estas vulnerabilidades están escondidas mediante la codificación URL la cual puede ser modificada para investigar el tipo de codificación.

Ejemplos:

Ruta del fuente: c:\website\administrador\qro\queretaro.gob.mx\www\App_Code\Seguridad.cs

Notificaciones al usuario:
  • Mediante Email: 11/09/2015
  • Mediante Email: 12/09/2015
  • Mediante Twitter: 13/09/2015
  • Mediante Twitter: 14/09/2015
  • Ultimo aviso: 17/09/2015

Se hizo publico el reporte por falta de cooperación de la entidad notificada.

Para mas detalles sobre estas vulnerabilidades así como la protección sobre las mismas pueden escribirnos a vec@divalia.mx