Vulnerabilidad en Interfaz Administrativa (CVE-2010-0112)

Múltiples vulnerabilidades de inyección SQL en la Interfaz Administrativa en la extensión IIS en IM Manager de Symantec anterior a versión 8.4.16, permiten a los atacantes remotos ejecutar comandos SQL arbitrarios por medio de (1) el parámetro rdReport en el archivo rdpageimlogic.aspx, relacionado con la función sGetDefinition en la biblioteca rdServer.dll, y declaraciones SQL contenidas en un determinado archivo de informe; (2) parámetros no especificados en una acción DetailReportGroup (también se conoce como DetailReportGroup.lgx) en el archivo rdpageimlogic.aspx; el parámetro (3) selclause, (4) whereTrendTimeClause, (5) TrendTypeForReport, (6) whereProtocolClause o (7) groupClause en una acción SummaryReportGroup (también se conoce como SummaryReportGroup.lgx) en el archivo rdpageimlogic.aspx; el parámetro (8) loginTimeStamp, (9) dbo, (10) dateDiffParam o (11) whereClause en una acción LoggedInUsers (también se conoce como LoggedInUSers.lgx) en el archivo (a) rdpageimlogic.aspx o (b) rdPage.aspx; el parámetro (12) selclause, (13) whereTrendTimeClause, (14) TrendTypeForReport, (15) whereProtocolClause, o (16) groupClause en el archivo rdpageimlogic.aspx; (17) el parámetro groupList en el archivo IMAdminReportTrendFormRun.asp; o (18) parámetro email en el archivo IMAdminScheduleReport.asp.