HP Operations Orchestration RSScheduler SQL befecskendezéses sérülékenység | Nemzeti Kibervédelmi Intézet

HP Operations Orchestration RSScheduler SQL befecskendezéses sérülékenység

2012. szeptember 3. 07:11

CH azonosító

CH-7497

Angol cím

HP Operations Orchestration RSScheduler Service SQL Injection Vulnerability

Felfedezés dátuma

2012.08.30.

Súlyosság

Érintett rendszerek

Hewlett Packard (HP)
Operations Orchestration

Érintett verziók

HP Operations Orchestration 9.x

Összefoglaló

A HP Operations Orchestration sérülékenysége vált ismertté, amelyet kihasználva a támadók SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre.

Leírás

A RSScheduler szolgáltatás JDBC komponensének átadott bizonyos bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésben felhasználásra kerülne. Ez kihasználható SQL lekérdezések manipulálására tetszőleges SQL kód befecskendezésével.

Továbbá ez a sérülékenység kihasználható tetszőleges kód futtatására is.

Megoldás

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

SECUNIA 50413
Egyéb referencia: www.zerodayinitiative.com

Legfrissebb sérülékenységek

cve-2023-36439 – Microsoft Exchange szerver sérülékenysége

CVE-2023-23368 – QNAP QTS sérülékenysége

CVE-2023-22518 – Confluence Data Center és Server sérülékenysége

CVE-2023-20273 – Cisco IOS XE Web UI jogosultság kiterjesztés sérülékenysége

CVE-2023-20198 – Cisco IOS XE Web UI sérülékenysége

CVE-2023-4966 – NetScaler ADC és NetScaler Gateway sérülékenysége

CVE-2023-20101 – Cisco Emergency Responder 12.5(1)SU4 sérülékenysége

CVE-2023-22515 – Atlassian Confluence Data Center és Server sérülékenysége

CVE-2023-42793 – JetBrains TeamCity sérülékenysége

CVE-2023-41179 – Trend Micro Apex One és Worry-Free Business Security sebezhetősége

Tovább a sérülékenységekhez »

Ugrás a tetejére