思科解決思科基礎許可證管理器中的SQL注入漏洞

更多全球網路安全資訊盡在E安全官網www.easyaq.com

小編來報：思科發布了安全更新，以解決思科基礎許可證管理器（CiscoPrime License Manager）網頁框架代碼中的安全漏洞，攻擊者可利用該漏洞執行任意SQL查詢。

據報道，思科修復了思科基礎許可證管理器（CiscoPrime License Manager）中的漏洞，未經身份驗證的遠程攻擊者可利用該漏洞執行任意SQL查詢。

該漏洞源於用戶輸入的SQL查詢中缺乏正確的驗證。攻擊者可通過向易受攻擊的應用程序發送其製作的HTTP POST請求來觸發漏洞，該請求中包含惡意SQL語句。

思科發布通知表示，「思科基礎許可證管理器（CiscoPrime License Manager）網頁框架代碼中的安全漏洞可允許未經身份驗證的遠程攻擊者執行任意SQL查詢。」

「該漏洞源於用戶輸入的SQL查詢中缺乏正確的驗證。攻擊者可通過向受影響的應用程序發送其製作的、包含惡意SQL語句的HTTP POST請求來利用該漏洞。成功發起攻擊後，攻擊者可修改或刪除PLM資料庫中的任意數據，或者利用postgres用戶特權獲得shell訪問許可權。」

該漏洞由沙特信息技術公司（SaudiInformation Technology Company）蘇哈伊爾·阿拉斯加（SuhailAlaskar）報告。該漏洞感染了思科基礎許可證管理器版本11.0.1後，又感染了思科基礎許可證管理器的獨立部署與及集中部署，在集中部署中，基礎許可證管理器作為思科統一通信管理器（Cisco Unified Communications Manager）與思科統一連接（Cisco Unity Connection）安裝包的一部分而被自動安裝。

由於思科統一通信管理器與思科統一連接發布的版本12.0及後續版本更新中不再包含基礎許可證管理器，故這些更新版本並未受該漏洞感染。

為解決思科基礎許可證管理器中的漏洞，思科發布了補丁ciscocm.CSCvk30822_v1.0.k3.cop.sgn，目前尚無其他辦法可解決該漏洞。

該公司還表示，「思科基礎許可證管理器發布的補丁ciscocm.CSCvk30822_v1.0.k3.cop.sgn中已修復該漏洞。同樣的COP文件可用于思科基礎許可證管理器的獨立部署，以及思科統一通信管理器與思科統一連接受感染版本的集中部署。」

思科並未注意到利用該漏洞進行的外部攻擊。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！