fbpx

VEC-2015-001 – Gobierno del Estado de Querétaro

Inicio/VEC-2015-001 – Gobierno del Estado de Querétaro

Divalia S.A de C.V  descubrió dos vulnerabilidades de inyección de SQL en la pagina del Gobierno del Estado de Querétaro, que pueden ser explotadas para realizar ataques de inyección SQL. Ambas vulnerabilidades requieren privilegios de usuario, sin embargo también puede ser explotada por atacantes no autenticados mediante vectores CSRF.

Estas vulnerabilidades están escondidas mediante la codificación URL la cual puede ser modificada para investigar el tipo de codificación.

Ejemplos:

Ruta del fuente: c:\website\administrador\qro\queretaro.gob.mx\www\App_Code\Seguridad.cs

Notificaciones al usuario:
  • Mediante Email: 11/09/2015
  • Mediante Email: 12/09/2015
  • Mediante Twitter: 13/09/2015
  • Mediante Twitter: 14/09/2015
  • Ultimo aviso: 17/09/2015

Se hizo publico el reporte por falta de cooperación de la entidad notificada.

Para mas detalles sobre estas vulnerabilidades así como la protección sobre las mismas pueden escribirnos a vec@divalia.mx

Sobre el Autor:

Somos una empresa tecnológica mexicana, ofrecemos servicios de alojamiento web, desarrollo y diseño web. Proveemos plataformas profesionales para impulsar el crecimiento de empresas mexicanas.

Deja un Comentario

 

This site uses Akismet to reduce spam. Learn how your comment data is processed.