CH azonosító
CH-5597Angol cím
Nortel Contact Recording "getSubKeys()" SQL Injection VulnerabilityFelfedezés dátuma
2011.09.20.Súlyosság
AlacsonyÖsszefoglaló
A Nortel Contact Recording olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak SQL befecskendezés (SQL injection) támadások kezdeményezésére.
Leírás
A EyrAPI/EyrAPIConfiguration/EyrAPIConfigurationIf-nek a SOAP üzenetekkel átadott bemeneti adat nem kerül megfelelően ellenőrzésre a “getSubKeys()” függvényben, mielőtt az SQL lekérdezésekben felhasználásra kerülne. Ez kihasználható az SQL lekérdezések manipulálására tetszőleges SQL kód befecskendezésével.
A sérülékenységet a 6.5.1. verzióban ismerték fel, de más verziók is érintettek lehetnek.
Megoldás
Rosszindulatú karakterláncok szűrése proxy segítségévelTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA 46012
Egyéb referencia: retrogod.altervista.org
