Hackernews 编译,转载请注明出处:
7月22日,网络安全公司SonicWall发布补丁,以缓解影响其Analytics On-Prem和全球管理系统产品的关键SQL注入(SQLi)漏洞。
该漏洞被跟踪为CVE-2022-22280,在CVSS评分系统上的严重性等级为9.4,源于该公司所描述的SQL命令中使用的“特殊元素的不当中和”,这可能导致未经身份验证的SQL注入。
“如果不在用户可控制的输入中充分删除或引用SQL语法,生成的SQL查询可能会导致这些输入被解释为SQL,而不是普通的用户数据。”MITRE在其对SQL注入的描述中指出。
这可以用于更改查询逻辑以绕过安全检查,或插入修改后端数据库的附加语句,其中可能包括执行系统命令。
DBappSecurity HAT Lab的H4lo和Catalpa发现并报告了影响2.5.0.3-2520 及更早版本的Analytics On-Prem 以及9.3.1-SP2-Hotfix1之前和包括它在内的所有GMS版本的漏洞。
建议依赖易受攻击设备的组织升级到Analytics 2.5.0.3-2520-Hotfix1和GMS 9.3.1-SP2-Hotfix-2。
SonicWall表示:“没有解决这个漏洞的方法,但是,通过整合Web应用程序防火墙来阻止SQLi尝试,可以显着降低被利用的可能性。”
消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文