CH azonosító
CH-7497Angol cím
HP Operations Orchestration RSScheduler Service SQL Injection VulnerabilityFelfedezés dátuma
2012.08.30.Súlyosság
KözepesÉrintett rendszerek
Hewlett Packard (HP)Operations Orchestration
Érintett verziók
HP Operations Orchestration 9.x
Összefoglaló
A HP Operations Orchestration sérülékenysége vált ismertté, amelyet kihasználva a támadók SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre.
Leírás
A RSScheduler szolgáltatás JDBC komponensének átadott bizonyos bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésben felhasználásra kerülne. Ez kihasználható SQL lekérdezések manipulálására tetszőleges SQL kód befecskendezésével.
Továbbá ez a sérülékenység kihasználható tetszőleges kód futtatására is.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA 50413
Egyéb referencia: www.zerodayinitiative.com
