IBM System Storage 管理器分析器ModuleServlet.do SQL注入

发布日期:2012-06-20
更新日期:2012-06-28

受影响系统:
IBM DS4700
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 54112
CVE(CAN) ID: CVE-2012-2171

IBM System Storage是可降低系统存储复杂性,提升企业存储硬件、软件和服务性能的解决方案。

DS系列设备上的IBM System Storage DS Storage Manager 10.83.xx.18版本中的Storage Manager Profiler内的ModuleServlet.do中存在SQL注入漏洞,可通过作用于ModuleServlet URI的state_viewmodulelog内的selectedModuleOnly参数,远程注入SQL命令。

<*来源:Gjoko Krstic (liquidworm@gmail.com
 
  链接:
       
*>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

XSS:
?updateRegn="&gt;&lt;script&gt;alert(1);&lt;/script&gt;

SQL注入:
?DeviceId=1&amp;state=state_viewmodulelog&amp;selectedModuleOnly=1[SQL QUERY]&amp;selectedModule=1

建议:
--------------------------------------------------------------------------------
厂商补丁:

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wwwywd.html