Cisco Veri Merkezi Ağ Yöneticisi VirtualPortChannel getDomain SQL Enjeksiyon Bilgilerinin Açığa Çıkması Güvenlik Açığı

CVE IDCVE-2019-15984
CVSS SKOR6.5, (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)
ETKİLENEN ÜRETİCİCisco
ETKİLENEN ÜRÜNData Center Network Manager
ZAFİYET DETAY
Bu güvenlik açığı uzak saldırganların etkilenen Cisco Veri Merkezi Ağ Yöneticisi yüklemeleriyle ilgili hassas bilgileri açıklamasına olanak tanır. Bu güvenlik açığından yararlanmak için kimlik doğrulaması gerekli olsa da, mevcut kimlik doğrulama mekanizması atlanabilir. Fm / fmrest / virtualportchannel / domain uç noktasına yapılan isteklerin işlenmesinde belirli bir kusur vardır. FilterStr parametresini ayrıştırırken, kullanıcı tarafından sağlanan bir dizeyi SQL sorguları oluşturmak için kullanmadan önce işlem düzgün doğrulamaz. Saldırgan, bunu SYSTEM bağlamında kod yürütmek için diğer güvenlik açıklarıyla birlikte kullanabilir.
DETAYLI BİLGİCisco has issued an update to correct this vulnerability. More details can be found at:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-sql-inject
TARİH2019-08-22 – Üreticiye mevcut bildirilen güvenlik açığı.
2020-01-03 – Üretici oluşan zafiyeti duyurma zamanı.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!