Symantec IM Manager IIS扩展管理界面多个SQL注入漏洞

admin
admin
admin
0
文章
0
评论
2022-07-20 00:42:12 CNNVD漏洞 来源:ZONE.CI 全球网 0 阅读模式

漏洞信息详情

Symantec IM Manager IIS扩展管理界面多个SQL注入漏洞

  • CNNVD编号:CNNVD-201010-401
  • 危害等级: 高危
  • CVE编号: CVE-2010-0112
  • 漏洞类型: SQL注入
  • 发布时间: 2010-10-28
  • 威胁类型: 远程
  • 更新时间: 2010-11-01
  • 厂        商: symantec
  • 漏洞来源: Andrea Micalizzi

漏洞简介

Symantec IM Manager 提供了完整、先进的IM安全管理解决方案,让组织可以在企业间安全地部署、管理与延伸IM的使用。

Symantec IM Manager 8.4.16之前版本中的IIS扩展中的管理界面存在多个SQL注入漏洞。远程攻击者可以借助(1)向rdpageimlogic.aspx文件传递的rdReport 参数,该参数与rdServer.dll文件中的sGetDefinition函数,以及在某个报告文件中所包含的声明有关;(2)向rdpageimlogic.aspx传递的DetailReportGroup(又名DetailReportGroup.lgx)操作中的未明参数;向rdpageimlogic.aspx传递的SummaryReportGroup(又名SummaryReportGroup.lgx)操作中的(3)selclause,(4)whereTrendTimeClause,(5)TrendTypeForReport,(6)whereProtocolClause,或者(7)groupClause参数;向(a)rdpageimlogic.aspx或者(b)rdPage.aspx传递的LoggedInUsers(又名LoggedInUSers.lgx)操作中的(8)loginTimeStamp,(9)dbo,(10)dateDiffParam,或者(11)whereClause参数;向rdpa! geimlogic.aspx传递的(12)selclause,(13)whereTrendTimeClause,(14)TrendTypeForReport,(15)whereProtocolClause,或者(16)groupClause参数;(17)向IMAdminReportTrendFormRun.asp文件传递的groupList参数;或者(18)向IMAdminScheduleReport.asp文件传递的email参数执行任意SQL命令。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://fileconnect.symantec.com/licenselogin.jsp

参考网址

来源: XF

名称: immanager-unspecified-sql-injection(62806)

链接:http://xforce.iss.net/xforce/xfdb/62806

来源: www.zerodayinitiative.com

链接:http://www.zerodayinitiative.com/advisories/ZDI-10-226/

来源: www.zerodayinitiative.com

链接:http://www.zerodayinitiative.com/advisories/ZDI-10-225/

来源: www.zerodayinitiative.com

链接:http://www.zerodayinitiative.com/advisories/ZDI-10-224/

来源: www.zerodayinitiative.com

链接:http://www.zerodayinitiative.com/advisories/ZDI-10-223/

来源: www.zerodayinitiative.com

链接:http://www.zerodayinitiative.com/advisories/ZDI-10-222/

来源: www.zerodayinitiative.com

链接:http://www.zerodayinitiative.com/advisories/ZDI-10-221/

来源: www.zerodayinitiative.com

链接:http://www.zerodayinitiative.com/advisories/ZDI-10-220/

来源: VUPEN

名称: ADV-2010-2789

链接:http://www.vupen.com/english/advisories/2010/2789

来源: www.symantec.com

链接:http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2010&suid=20101027_01

来源: BID

名称: 44299

链接:http://www.securityfocus.com/bid/44299

来源: SECUNIA

名称: 41959

链接:http://secunia.com/advisories/41959

来源:NSFOCUS 名称:15945※15946 链接:http://www.nsfocus.net/vulndb/15945※15946

受影响实体

  • Symantec Im_manager:7.5  
  • Symantec Im_manager:7.0  
  • Symantec Im_manager:6.5  
  • Symantec Im_manager:6.0  
  • Symantec Im_manager:8.4.15  

补丁

    暂无

weinxin
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
咨询加Q:999999999
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
获取本源码
售前咨询加Q:120433200
站媒体网仿《知更鸟》模板
获取本源码 zmt6.com
评论:0   参与:  0