Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad SQL Injection en Cisco Prime License Manager

Fecha de publicación 29/11/2018
Importancia
5 - Crítica
Recursos Afectados
  • Cisco Prime License Manager versiones 11.0.1 y posteriores.
Descripción

Una vulnerabilidad en el código del framework web de Cisco Prime License Manager (PLM) podría permitir a un atacante remoto no autenticado ejecutar consultas SQL arbitrarias.

Solución

Aplicar el parche ciscocm.CSCvk30822_v1.0.k3.cop.sgn.

Detalle
  • Una inadecuada validación de las entradas suministradas por el usuario en las consultas SQL, podría permitir a un atacante modificar y borrar datos arbitrarios en la base de datos PML u obtener acceso al shell con los privilegios del usuario postgres, mediante el envío de peticiones HTTP POST modificadas que incluyan instrucciones SQL maliciosas. Se ha asignado el identificador CVE-2018-15441 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Cisco Prime License Manager SQL Injection Vulnerability
Etiquetas