Шрифт ўлчами: A A A
Сайт ранги: A A A A

“Cisco Unified Communications Manager”да SQL-инъекция

“Cisco Unified Communications Manager”да SQL-инъекция

Нашр санаси: 26.04.2015
Ўзгартириш санаси: 16.04.2015
Хавфлилиги: Ўрта
Тузатиш мавжудлиги: Қисман
Заифликлар сони: 1
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:6.4/Temporal:4.7
CVE ID: CVE-2015-0699
Фойдаланиш вектори: Масофали
Таъсири: Маълумотларнинг авторизациясиз ўзгартирилиши

CWE ID: Маълумотлар йўқ
Эксплоит мавжудлиги: Маълумотлар йўқ

Заиф маҳсулотлар: Cisco Unified Communications Manager 10.x
Заиф версиялар: Cisco Unified Communications Manager 10.5 (1.98991.13)

Тавсиф:
Масофадаги фойдаланувчи илованинг маълумотлар базасида ихтиерий SQL -буйруқларни амалга ошириши мумкин. Заифлик  Interactive Voice Response интерфейсидаги кирувчи маълумотларга етарли даражада ишлов берилмаётганлиги сабабли мавжуд. Масофадаги фойдаланувчи махсус шакллантирилган сўров орқали илованинг маълумотлар базасида муайян бир ихтиёрий SQL-буйруқни бажариши мумкин.

Изоҳ: Linux операцион тизимлари билан боғлиқ ҳолларда эса, заифликнинг эксплуатацияси кўзланган тизимда оширилган имтиёзлар билан муайян бир ихтиёрий кодни ишга туширишга имкон беради.

Ечим: Ишлаб чиқарувчининг сайти орқали охирги версияни ўрнатинг.
Ишлаб чиқарувчининг URL манзили: cisco.com
Ҳаволалар: http://tools.cisco.com/security/center/viewAlert.x?alertId=38366
Манба: securitylab.ru



Рўйхатга қайтиш