🔥 Công Ty TNHH Thẩm Mỹ Viện Auto Năm Kỹ đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH Hydo đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Khuyến nông tỉnh Bạc Liêu đã đăng ký tín nhiệm. 🔥                    🔥 Ban Quản lý dự án đầu tư xây dựng các công trình dân dụng và công nghiệp TP Hồ CHí Minh đã đăng ký tín nhiệm. 🔥                    🔥 Bệnh viện Tâm thần Đà Nẵng đã đăng ký tín nhiệm. 🔥                   

SonicWall phát hành bản vá cho lỗ hổng SQLi nghiêm trọng trong Analytics và GMS

26/07/2022

Thứ Sáu tuần trước, công ty bảo mật SonicWall đã phát hành các bản vá để khắc phục lỗ hổng SQL injection (SQLi) nghiêm trọng ảnh hưởng đến các sản phẩm Analytics On-Prem và Global Management System (GMS) của họ.

Lỗ hổng có định danh CVE-2022-22280 (điểm CVSS;9,4 trên 10), phát sinh do thiếu kiểm tra, sàng lọc dữ liệu đầu vào được sử dụng trong câu lệnh SQL, cho phép tin tặc thực hiện SQL injection mà không cần xác thực.

H4lo và Catalpa của DBappSecurity HAT Lab được ghi nhận là đã phát hiện và báo cáo lỗ hổng.

MITER lưu ý trong phần mô tả về SQL injection: "Nếu không có biện pháp kiểm tra, xử lý thích hợp đối với các đầu vào do người dùng kiểm soát, truy vấn SQL được tạo có thể khiến các đầu vào được hiểu như câu truy vấn SQL thay vì dữ liệu người dùng thông thường".

"Điều này có thể được sử dụng để thay đổi logic truy vấn và vượt qua kiểm tra bảo mật hoặc thực hiện các lệnh sửa đổi cơ sở dữ liệu back-end, có thể bao gồm cả việc thực thi các lệnh hệ thống".

Lỗ hổng ảnh hưởng đến các phiên bản Analytics On-Prem từ 2.5.0.3-2520 trở về trước và các phiên bản GMS từ 9.3.1-SP2-Hotfix1 trở về trước.

Người dùng nên nâng cấp lên Analytics 2.5.0.3-2520-Hotfix1 và GMS 9.3.1-SP2-Hotfix-2 để giảm thiểu các nguy cơ bị khai thác tấn công.

SonicWall cho biết: “Không có giải pháp thay thế cho lỗ hổng này. Tuy nhiên, có thể làm giảm đáng kể khả năng bị khai thác bằng cách sử dụng Tường lửa ứng dụng web (Web Application Firewall) để ngăn chặn các tấn công SQLi".

Nguồn: thehackernews.com.

scrolltop