CH azonosító
CH-7885Angol cím
VeriCentre Web Console Multiple SQL Injection VulnerabilitiesFelfedezés dátuma
2012.11.05.Súlyosság
AlacsonyÉrintett rendszerek
VeriCentre Web ConsoleVeriFone Systems
Érintett verziók
VeriCentre Web Console 2.x
Összefoglaló
A VeriCentre Web Console olyan sérülékenységei váltak ismertté, melyeket kihasználva a rosszindulatú felhasználók SQL befecskendezéses (SQL injection) támadásokat tudnak végrehajtani.
Leírás
A “TerminalId”, “ModelName” és “ApplicationName” paramétereken keresztül a WebConsole/terminal/paramedit.aspx részére átadott bementi adat nincsen megfelelően megtisztítva az SQL lekérdezésekben történő használat előtt. Ez kihasználható az SQL lekérdezések módosítására tetszőleges SQL kód befecskendezésével.
A sérülékenységek a 2.2 build 36 előtti verziókban találhatóak.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 51122
CVE-2012-4951 - NVD CVE-2012-4951
US-CERT 180091
