漏洞信息详情
Dell SonicWall Scrutinizer SQL注入漏洞
- CNNVD编号:CNNVD-201407-365
- 危害等级: 高危
- CVE编号: CVE-2014-4977
- 漏洞类型: SQL注入
- 发布时间: 2014-07-17
- 威胁类型: 远程
- 更新时间: 2014-07-17
- 厂 商: sonicwall
- 漏洞来源:
漏洞简介
Dell SonicWALL Scrutinizer是美国戴尔(Dell)公司的一套支持多厂商的应用通信分析可视化与报告工具。该工具提供深度包分析、振动/延迟监测和历史及预先报告等功能。
Dell SonicWall Scrutinizer 11.0.1版本中存在SQL注入漏洞,该漏洞源于cgi-bin/admin.cgi页面没有充分过滤创建新用户请求中的‘selectedUserGroup’参数,changeUnit函数没有充分过滤‘user_id’参数,methodDetail函数没有充分过滤‘methodDetail’参数,d4d/exporters.php脚本没有充分过滤xcNetworkDetail函数中的‘xcNetworkDetail’参数。远程攻击者可利用该漏洞执行任意SQL命令。
漏洞公告
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
http://www.dell.com.cn/
参考网址
来源:gist.github.com
链接:https://gist.github.com/brandonprry/36b4b8df1cde279a9305
来源:gist.github.com
链接:https://gist.github.com/brandonprry/76741d9a0d4f518fe297
来源:XF
链接:http://xforce.iss.net/xforce/xfdb/94439
来源:BID
链接:http://www.securityfocus.com/bid/68495
来源:FULLDISC
链接:http://seclists.org/fulldisclosure/2014/Jul/44
来源:packetstormsecurity.com
链接:http://packetstormsecurity.com/files/127429/Dell-Sonicwall-Scrutinizer-11.01-Code-Execution-SQL-Injection.HTML
受影响实体
- Sonicwall Scrutinizer:11.0.1
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论