CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-15755 – CF networking internal policy server SQL injection
https://notcve.org/view.php?id=CVE-2018-15755
Cloud Foundry CF Networking Release, versions 2.11.0 prior to 2.16.0, contain an internal api endpoint vulnerable to SQL injection between Diego cells and the policy server. A remote authenticated malicious user with mTLS certs can issue arbitrary SQL queries and gain access to the policy server. Cloud Foundry CF Networking Release, en versiones 2.11.0 anteriores a la 2.16.0, contiene un endpoint de API interno vulnerable a una inyección SWL entre las celdas Diego y el servidor de políticas. Un usuario autenticado remoto malicioso con certs mTLS puede lanzar consultas SQL arbitrarias y obtener acceso al servidor de políticas. • https://www.cloudfoundry.org/blog/cve-2018-15755 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •