CVE-2018-17796
https://notcve.org/view.php?id=CVE-2018-17796
An issue was discovered in MRCMS (aka mushroom) through 3.1.2. The WebParam.java file directly accepts the FIELD_T parameter in a request and uses it as a hash of SQL statements without filtering, resulting in a SQL injection vulnerability in getChannel() in the ChannelService.java file. Se ha descubierto un problema en MRCMS (también conocido como mushroom) hasta su versión 3.1.2. El archivo WebParam.java acepta directamente el parámetro FIELD_T en una petición y lo emplea como hash de instrucciones SQL sin filtrado, lo que resulta en una vulnerabilidad de inyección SQL en getChannel() en el archivo ChannelService.java. • https://github.com/wuweiit/mushroom/issues/16 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •