Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

SQL Injection erako ahultasuna Cisco Prime License Manager-en

Argitalpen data: 2018/11/29

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • Cisco Prime License Manager, 11.0.1 bertsioa eta ondorengoak.

Azalpena:

Cisco Prime License Manager-en (PLM) web framework-aren kodeak duen ahultasun bat baliatuz, autentifikaziorik gabeko urruneko erasotzaile batek SQL kontsulta arbitrarioak exekuta litzake.

Konponbidea:

ciscocm.CSCvk30822_v1.0.k3.cop.sgn partxea aplikatzea.

Xehetasuna:

  • Erabiltzaileak SQL kontsultetan emandako sarreren baliozkotze desegoki baten ondorioz, erasotzaile batek PML datu basean datu arbitrarioak alda eta ezaba litzake, edo shell-era sarbidea lor lezake postgres erabiltzailearen pribilegioekin, SQL jarraibide gaiztoak dituzten aldatutako HTTP POST eskaerak bidaliz. Ahultasun horretarako CVE-2018-15441 identifikatzailea erabili da.
Etiketak: Eguneraketa, Cisco, Ahultasuna