CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 1CVE-2020-26712
https://notcve.org/view.php?id=CVE-2020-26712
REDCap 10.3.4 contains a SQL injection vulnerability in the ToDoList function via sort parameter. The application uses the addition of a string of information from the submitted user that is not validated well in the database query, resulting in an SQL injection vulnerability where an attacker can exploit and compromise all databases. REDCap versión 10.3.4, contiene una vulnerabilidad de inyección SQL en la función ToDoList por medio del parámetro sort. La aplicación utiliza la adición de una cadena de información del usuario enviado que no está bien comprobada en la consulta de la base de datos, resultando en una vulnerabilidad de inyección SQL donde un atacante puede explotar y comprometer todas las bases de datos • https://github.com/vuongdq54/RedCap https://www.evms.edu/research/resources_services/redcap/redcap_change_log https://www.project-redcap.org • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •