新闻快讯
< >

思科解决思科基础许可证管理器中的SQL注入漏洞

据悉,思科发布了安全更新,以解决思科基础许可证管理器(CiscoPrime License Manager)网页框架代码中的安全漏洞,攻击者可利用该漏洞执行任意SQL查询。

思科修复了思科基础许可证管理器(CiscoPrime License Manager)中的漏洞,未经身份验证的远程攻击者可利用该漏洞执行任意SQL查询。 

思科解决思科基础许可证管理器中的SQL注入漏洞-E安全

该漏洞源于用户输入的SQL查询中缺乏正确的验证。攻击者可通过向易受攻击的应用程序发送其制作的HTTP POST请求来触发漏洞,该请求中包含恶意SQL语句 

思科发布通知表示,“思科基础许可证管理器(CiscoPrime License Manager)网页框架代码中的安全漏洞可允许未经身份验证的远程攻击者执行任意SQL查询。” 

 “该漏洞源于用户输入的SQL查询中缺乏正确的验证。攻击者可通过向受影响的应用程序发送其制作的、包含恶意SQL语句的HTTP POST请求来利用该漏洞。成功发起攻击后,攻击者可修改或删除PLM数据库中的任意数据,或者利用postgres用户特权获得shell访问权限。” 

该漏洞由沙特信息技术公司(SaudiInformation Technology Company)苏哈伊尔·阿拉斯加(SuhailAlaskar)报告。该漏洞感染了思科基础许可证管理器版本11.0.1后,又感染了思科基础许可证管理器的独立部署与及集中部署,在集中部署中,基础许可证管理器作为思科统一通信管理器(Cisco Unified Communications Manager)与思科统一连接(Cisco Unity Connection)安装包的一部分而被自动安装。 

由于思科统一通信管理器与思科统一连接发布的版本12.0及后续版本更新中不再包含基础许可证管理器,故这些更新版本并未受该漏洞感染。 

为解决思科基础许可证管理器中的漏洞,思科发布了补丁ciscocm.CSCvk30822_v1.0.k3.cop.sgn,目前尚无其他办法可解决该漏洞 

该公司还表示,“思科基础许可证管理器发布的补丁ciscocm.CSCvk30822_v1.0.k3.cop.sgn中已修复该漏洞。同样的COP文件可用于思科基础许可证管理器的独立部署,以及思科统一通信管理器与思科统一连接受感染版本的集中部署。” 

思科并未注意到利用该漏洞进行的外部攻击。


E安全注:本文系E安全由国外公开媒体搜集并独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号j871798128②邮箱②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站户网站户网站户网站www.easyaq.com , 查 , 查看更多精彩内容。