发布日期:2014-07-25
更新日期:2014-08-18
受影响系统:
Sabre AirCentre Crew 2010.2.12.20008
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 68899
CVE(CAN) ID: CVE-2014-4858
Sabre AirCentre Crew 是一组解决方案,可让航空公司高效地规划和管理机组人员的运营。从规划和投标到排班和配对,Sabre AirCentre Crew 可让航空公司有效规划其机组人员运营,并考虑机组人员培训和资格要求。
AirCentre Crew 2010.2.12.20008及其他版本没有有效过滤CWPLogin.aspx的username及password字段,在实现上存在SQL注入漏洞,远程攻击者可利用此漏洞绕过身份验证并以管理员身份访问系统。
<*来源:Youssef Manar
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Sabre
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: