• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Внедрение SQL-кода

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:S/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Cisco ACS (5.0.0.21, 5.1.0.44, 5.2.0.26, 5.2.0.26.1, 5.2.0.26.10, 5.2.0.26.11, 5.2.0.26.2, 5.2.0.26.3, 5.2.0.26.4, 5.2.0.26.5, 5.2.0.26.6, 5.2.0.26.7, 5.2.0.26.8, 5.2.0.26.9, 5.3.0.40, 5.3.0.40.1, 5.3.0.40.2, 5.3.0.40.3, 5.3.0.40.4, 5.3.0.40.5, 5.3.0.40.6, 5.3.0.40.7, 5.3.0.6, 5.4.0.46.0a, 5.4.0.46.1, 5.4.0.46.2, 5.4.0.46.3, 5.4.0.46.4, 5.4.0.46.5, 5.4.0.46.6, 5.5.0.46.1, 5.5.0.46.2, 5.5.0.46.3, 5.5.0.46.4, 5.5.0.46.5, 5.5.0.46.6, 5.5.0.46.7)
Описание
Множественные внедрения SQL-кода на страницах отчетности ACS View системы контроля безопасного доступа Cisco Secure ACS позволяют администраторам, действующим удаленно и прошедшим аутентификацию, выполнить произвольные SQL-команды, используя специально сформированные HTTPS-запросы.
Как исправить
Используйте рекомендации производителя:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150211-csacs