CH azonosító
CH-8988Angol cím
Cisco NAC Appliance SQL Injection VulnerabilityFelfedezés dátuma
2013.04.17.Súlyosság
KözepesÉrintett rendszerek
CISCONAC Appliance
Érintett verziók
Cisco NAC Appliance (korábban Cisco Clean Access (CCA)) 4.x
Összefoglaló
A Cisco NAC Appliance egy sérülékenységét jelentették, amit kihasználva a támadók SQL befecskendezéses (SQL injection) támadásokat indíthatnak.
Leírás
A Cisco NAC Appliance számára átadott nem részletezett bemeneti adat nem megfelelően van megtisztítva, mielőtt SQL lekérdezésben felhasználásra kerülne. Ezt kihasználva módosítani lehet az SQL lekérdezéseket tetszőleges SQL parancsok befecskendezésével.
A 4.9.2 és 4.8.3.1 előtti verziókban jelentett sérülékenységet kihasználva akár tetszőleges kódot is végre lehet hajtani.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: tools.cisco.com
CVE-2013-1177 - NVD CVE-2013-1177
SECUNIA 53130
