Authenex Strong Authentication Server “rgstcode” SQL befecskendezés sérülékenység

2011. szeptember 23. 07:16

CH azonosító

CH-5614

Angol cím

Authenex Strong Authentication Server "rgstcode" SQL Injection Vulnerability

Felfedezés dátuma

2011.09.21.

Súlyosság

Közepes

Érintett rendszerek

Authenex
Strong Authentication System

Érintett verziók

Authenex Strong Authentication System 3.x

Összefoglaló

Az Authenex Strong Authentication Server olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak SQL befecskendezés (SQL injection) támadások kezdeményezésére.

Leírás

Az “rgstcode” paraméteren keresztül átadott bemeneti adat az akeyActivationLogin.do részére anem kerül megfelelően ellenőrzésre, mielőtt az SQL lekérdezésekben felhasználásra kerülne. Ez tetszőleges SQL kód befecskendezésével kihasználható az SQL lekérdezések manipulálására.

A sérülékenység sikeresen kihasználható, amennyiben az End User Self Service modul futtatott állapotban van.

A sérülékenységet a 3.1.0.2. és 3.1.0.3. verziókban ismerték fel, de más verziók is érintettek lehetnek.

Megoldás

Telepítse a ASAS3102Update4. vagy a ASAS3103Update2. javításokat.

Legfrissebb sérülékenységek

CVE-2024-20295 – Cisco IMC sérülékenysége

CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége

CVE-2024-3566 – Windows CreateProcess sérülékenysége

CVE-2024-22423 – yt-dlp sérülékenysége

CVE-2024-1874 – PHP sérülékenysége

CVE-2024-24576 – Rust sérülékenysége

CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége

CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége

CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége

CVE-2023-6320 – LG webOS sérülékenysége

Tovább a sérülékenységekhez »

Authenex Strong Authentication Server “rgstcode” SQL befecskendezés sérülékenység