← volver
CVE-2023-29492

CVE-2023-29492

CVSS 9.8 CRITICALEPSS 2.7%● KEVCWE-94
Vexday Risk Score
58Atención
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 9.8EPSS 2.7%KEV simPoC Nuclei Metasploit Patch
Ciclo de vida
11 abr 2023Publicada en NVD
13 abr 2023Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen

Versiones de Novi Survey anteriores a 8.9.43676 permiten a atacantes ejecutar código malicioso en el servidor. Esto compromete el servidor, aunque los datos de las encuestas permanecen protegidos.

Detalle técnico

Vulnerabilidad de ejecución remota de código en Novi Survey < 8.9.43676 explotable sin autenticación, ejecutando comandos arbitrarios en el contexto de la cuenta de servicio. La falla resulta de validación insuficiente de entrada (CWE-94), permitiendo que atacantes no autenticados comprometan completamente el servidor, sin embargo sin acceso a los datos almacenados de respuestas de encuestas.

Resumen generado y traducido por IA a partir de la descripción oficial.
Novi Survey before 8.9.43676 allows remote attackers to execute arbitrary code on the server in the context of the service account. This does not provide access to stored survey or response data.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://novisurvey.net/blog/novi-survey-security-advisory-apr-2023.aspxhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-29492