Cisco corrige una vulnerabilidad de inyección de SQL

Cisco acaba de actualizar una vulnerabilidad de inyección de SQL crítica que reside en el código del marco web del Cisco Prime License Manager (PLM) diseñado para ayudar a los administradores a administrar las licencias de los usuarios en una escala de toda la empresa.

Los posibles atacantes remotos podrían ejecutar consultas SQL arbitrarias en máquinas vulnerables después de explotar con éxito el problema de seguridad CVE-2018-15441.

Según la advertencia de Cisco que detalla este error de seguridad de inyección SQL en la solución Cisco Prime License Manager, el problema reside en la "falta de validación adecuada de la entrada proporcionada por el usuario en consultas SQL".

Cisco también dice que "Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTP POST creadas que contengan declaraciones SQL maliciosas a una aplicación afectada".

Además, los adversarios que logran usar un exploit para comprometer un objetivo vulnerable también pueden eliminar o modificar cualquier dato dentro de la base de datos de Prime License Manager, así como obtener acceso de shell con los privilegios del sistema de la cuenta de usuario de Postgres.

No hay soluciones conocidas para mitigar esta vulnerabilidad en este momento, pero Cisco ya ha lanzado actualizaciones de software que abordan la vulnerabilidad.

Esta vulnerabilidad afecta solo a PLM 11.0.1 o instalaciones posteriores

El problema de seguridad CVE-2018-15441 afecta a Cisco Prime License Manager 11.0.1 y versiones posteriores, y afecta tanto a las implementaciones independientes como a las correspondientes.

En las configuraciones de los residentes, la solución Cisco Prime License Manager se instala como parte de las suites Cisco Unified Communications Manager y Cisco Unity Connection.

Además, debido a que Cisco PLM no se incluye en las versiones 12.0 o posteriores de Cisco Unity Connection y Cisco Unified Communications Manager, estas versiones de las dos suites no se ven afectadas por esta vulnerabilidad de inyección de SQL.

"El Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIRT) no tiene conocimiento de ningún anuncio público o uso malintencionado de la vulnerabilidad que se describe en este aviso" también dice el aviso.

Semrush sigue a tu competencia


Fecha actualización el 2018-11-29. Fecha publicación el 2018-11-29. Categoria: cisco Autor: Oscar olg Mapa del sitio Fuente: softpedia
cisco