CH azonosító
CH-5614Angol cím
Authenex Strong Authentication Server "rgstcode" SQL Injection VulnerabilityFelfedezés dátuma
2011.09.21.Súlyosság
KözepesÉrintett rendszerek
AuthenexStrong Authentication System
Érintett verziók
Authenex Strong Authentication System 3.x
Összefoglaló
Az Authenex Strong Authentication Server olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak SQL befecskendezés (SQL injection) támadások kezdeményezésére.
Leírás
Az “rgstcode” paraméteren keresztül átadott bemeneti adat az akeyActivationLogin.do részére anem kerül megfelelően ellenőrzésre, mielőtt az SQL lekérdezésekben felhasználásra kerülne. Ez tetszőleges SQL kód befecskendezésével kihasználható az SQL lekérdezések manipulálására.
A sérülékenység sikeresen kihasználható, amennyiben az End User Self Service modul futtatott állapotban van.
A sérülékenységet a 3.1.0.2. és 3.1.0.3. verziókban ismerték fel, de más verziók is érintettek lehetnek.
Megoldás
Telepítse a ASAS3102Update4. vagy a ASAS3103Update2. javításokat.
Támadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: support.authenex.com
Gyártói referencia: support.authenex.com
SECUNIA 46103
Egyéb referencia: foregroundsecurity.com