Avaya SQL注入漏洞

時間:2019-1-2 分享到:
廠商Avaya SQL注入漏洞
產品Avaya IP Office聯絡中心
受影響的版本10.1.2.1及之前版本
測試版本10.1.2.1
漏洞發現日期2019-1-24
廠商通知日期2019-1-24
預警公告日期
廠商確認日期
廠商修復日期
公開披露日期
最新修正日期2019-1-24
CVE ID待生成
產品描述Avaya是一家美國跨國科技公司,總部位于加利福尼亞州,專門從事商業通信,特別是聯絡中心和通信服務。
發現者Tan Peng Fei Eddie, 安全研究員和滲透測試員 @wizlynx group

漏洞描述


? ? SQL注入漏洞
????嚴重程度: 危險????CVSS 分數: 9.8????CWE-ID: CWE-89CWE-94CWE-116????狀態: 未修復
????漏洞詳情
????在Avaya IP Office Contact Center上運行的Web應用程序,受SQL注入影響版本為10.1.2.1 以及之前版本。當在SQL查詢中使用源自客戶端請求的值而沒有適當的清理時,就會發生SQL注入。這可能允許攻擊者執行任意SQL代碼并竊取數據或使用數據庫服務器的附加功能來控制更多服務器組件。
????CVSS基準分
????攻擊媒介????網絡????范圍? ? 不變
????攻擊復雜度????低????保密性影響? ? 高
????所需特權? ? 無????一致性影響? ? 高
????用戶互動? ? 無????可用性影響? ? 高

詳情


一旦廠商提供補丁,就會披露有關該漏洞的全面細節。

版權所有:http://www.aihulou.com 轉載請注明出處
? 凯时国际体育