安基网 首页 资讯 安全报 查看内容

Cisco解决了SQL注入缺陷,其中框架代码中的一个漏洞

2018-12-4 09:19| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: Cisco修复了Cisco Prime License Manager中的一个漏洞,该漏洞可以被远程未经身份验证的攻击者利用来执行任意SQL查询。该缺陷是由于用户输入中没有提供正确的验证SQL查询造成的。攻击者可以通过向脆弱的应用程序发送 ...

Cisco修复了Cisco Prime License Manager中的一个漏洞,该漏洞可以被远程未经身份验证的攻击者利用来执行任意SQL查询。

该缺陷是由于用户输入中没有提供正确的验证SQL查询造成的。攻击者可以通过向脆弱的应用程序发送包含恶意SQL语句的精心制作的HTTP POST请求来触发该缺陷。

Cisco Prime License Manager (PLM)的web框架代码中的一个漏洞可能允许未经身份验证的远程攻击者执行任意SQL查询。公告中写道。思科(Cisco)发布的一份咨询中写道。

该漏洞是由于SQL查询中用户提供的输入缺乏适当的验证。攻击者可以通过向受影响的应用程序发送包含恶意SQL语句的精心制作的HTTP POST请求来利用这个漏洞。一个成功的漏洞可以允许攻击者修改和删除PLM数据库中的任意数据,或者使用postgres用户的特权获得shell访问权限。

来自沙特信息技术公司的Suhail Alaskar报道了这一缺陷。这个缺陷会影响到Prime License Manager版本11.0.1以及之后的版本,它会影响到Cisco Prime License Manager的独立部署和coresident部署,在coresident部署中,Prime License Manager是作为安装Cisco Unified Communications Manager和Cisco Unity Connection的一部分自动安装的。

Cisco Unified Communications Manager和Cisco Unity Connection版本12.0以及以后的版本不受此缺陷的影响,因为这些版本中不再包含Cisco Prime License Manager。

思科发布了补丁ciscocm.CSCvk30822_v1.0.k3.cop,目前还没有解决这个问题的变通办法。解决主要许可证管理器中的缺陷。

这个漏洞是在Cisco Prime License Manager发布的补丁ciscocm.CSCvk30822_v1.0.k3.cop.sgn中修复的。公司继续说道。“同一个COP文件可以用于独立部署Cisco Prime License Manager,也可以用于作为Cisco Unified Communications Manager和Cisco Unity Connection一部分的coresident部署,以及所有受影响的版本。”

思科并没有意识到这种利用漏洞的攻击行为。

Pierluigi帕格尼尼

(安全事务- CISCO, SQL注入)

Tag标签: Cisco SQL注入

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6630661247182307848/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部