聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞的CVSS 评分为9.4,是因为对SQL命令中所使用的“特殊元素中和不当”造成的,可导致未认证SQL注入后果。MITRE对SQL注入的说明是,“如未充分删除或引用用户可控输入中的SQL句法,则所生成的SQL查询可导致这些输入被解释为SQL而不是普通的用户数据。它可导致查询逻辑被修改,绕过安全检查,或者插入其它语句修改后端数据库如系统命令执行等。”
DBappSecurity HAT Lab 公司的研究员 H4Io 和 Catalpa 发现并将漏洞告知厂商。该漏洞影响 Analytics On-Prem 版本2.5.0.3-2520和更早版本以及GMS 9.3.1-SP2-Hotfix1 及更早版本的GMS。
建议依赖于这些易受攻击工具的组织机构升级至 Analytics 2.5.0.3-2520-Hotfix 1和 GMS 9.3.1-SP2-Hotfix-2。
SonicWall 公司指出,“目前不存在该漏洞的应变措施。然而,可集成 WAF 拦截SQLi 尝试,大大减少该漏洞遭利用的可能性。”
https://thehackernews.com/2022/07/sonicwall-issues-patch-for-critical-bug.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~