Authenex Strong Authentication Server “rgstcode” SQL befecskendezés sérülékenység


2011. szeptember 23. 07:16

CH azonosító

CH-5614

Angol cím

Authenex Strong Authentication Server "rgstcode" SQL Injection Vulnerability

Felfedezés dátuma

2011.09.21.

Súlyosság

Közepes

Érintett rendszerek

Authenex
Strong Authentication System

Érintett verziók

Authenex Strong Authentication System 3.x

Összefoglaló

Az Authenex Strong Authentication Server olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak SQL befecskendezés (SQL injection) támadások kezdeményezésére.

Leírás

Az “rgstcode” paraméteren keresztül átadott bemeneti adat az akeyActivationLogin.do részére anem kerül megfelelően ellenőrzésre, mielőtt az SQL lekérdezésekben felhasználásra kerülne. Ez tetszőleges SQL kód befecskendezésével kihasználható az SQL lekérdezések manipulálására.

A sérülékenység sikeresen kihasználható, amennyiben az End User Self Service modul futtatott állapotban van.

A sérülékenységet a 3.1.0.2. és 3.1.0.3. verziókban ismerték fel, de más verziók is érintettek lehetnek.

Megoldás

Telepítse a ASAS3102Update4. vagy a ASAS3103Update2. javításokat.

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: support.authenex.com
Gyártói referencia: support.authenex.com
SECUNIA 46103
Egyéb referencia: foregroundsecurity.com