Authenex Strong Authentication Server “rgstcode” SQL befecskendezés sérülékenység

2011. szeptember 23. 07:16

CH azonosító

CH-5614

Angol cím

Authenex Strong Authentication Server "rgstcode" SQL Injection Vulnerability

Felfedezés dátuma

2011.09.21.

Súlyosság

Közepes

Érintett rendszerek

Authenex
Strong Authentication System

Érintett verziók

Authenex Strong Authentication System 3.x

Összefoglaló

Az Authenex Strong Authentication Server olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak SQL befecskendezés (SQL injection) támadások kezdeményezésére.

Leírás

Az “rgstcode” paraméteren keresztül átadott bemeneti adat az akeyActivationLogin.do részére anem kerül megfelelően ellenőrzésre, mielőtt az SQL lekérdezésekben felhasználásra kerülne. Ez tetszőleges SQL kód befecskendezésével kihasználható az SQL lekérdezések manipulálására.

A sérülékenység sikeresen kihasználható, amennyiben az End User Self Service modul futtatott állapotban van.

A sérülékenységet a 3.1.0.2. és 3.1.0.3. verziókban ismerték fel, de más verziók is érintettek lehetnek.

Megoldás

Telepítse a ASAS3102Update4. vagy a ASAS3103Update2. javításokat.

Legfrissebb sérülékenységek

CVE-2023-4863 – Google Chrome sérülékenysége

CVE-2023-40186 – FreeRDP sérülékenysége

CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége

CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége

CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége

CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége

CVE-2023-38831 – RARLabs WinRAR sérülékenysége

CVE-2023-38035 – Ivanti Sentry sérülékenysége

CVE-2023-20212 – ClamAV sérülékenysége

CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége

Tovább a sérülékenységekhez »

Authenex Strong Authentication Server “rgstcode” SQL befecskendezés sérülékenység