IBM System Storage 管理器分析器ModuleServlet.do SQL注入漏洞

发布日期：2012-06-20
更新日期：2012-06-28受影响系统：
IBM DS4700
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 54112
CVE（CAN） ID: CVE-2012-2171IBM System Storage是可降低系统存储复杂性，提升企业存储硬件、软件和服务性能的解决方案。DS系列设备上的IBM System Storage DS Storage Manager 10.83.xx.18版本中的Storage Manager Profiler内的ModuleServlet.do中存在SQL注入漏洞，可通过作用于ModuleServlet URI的state_viewmodulelog内的selectedModuleOnly参数，远程注入SQL命令。<*来源：Gjoko Krstic （liquidworm@gmail.com）

链接：http://secunia.com/advisories/49582/
http://www.zeroscience.mk/en/vulnerabilities/ZSL-2012-5094.php
*>测试方法：
--------------------------------------------------------------------------------警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！XSS：
http://www.example.com/SoftwareRegistration.do？updateRegn="><script>alert（1）;</script> SQL注入：
http://www.example.com/ModuleServlet？DeviceId=1&state=state_viewmodulelog&selectedModuleOnly=1[SQL QUERY]&selectedModule=1建议：
--------------------------------------------------------------------------------
厂商补丁：IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www.ers.ibm.com/IBM System Storage 管理器分析器SoftwareRegistration.do跨站脚本执行漏洞OpenSSH "ssh_gssapi_parse_ename（）"函数拒绝服务漏洞相关资讯 SQL注入漏洞

已经 14 岁的 SQL 注入仍然是最危（08/29/2013 13:12:18）
TYPO3 WEC 讨论区SQL注入漏洞（02/22/2013 08:55:37）
MyBB HM_My Country Flags 插件" （12/28/2012 12:15:26）

TYPO3 My quiz and poll Extension （02/22/2013 08:56:41）
Dedecms v5.7 plusfeedback.php （01/02/2013 08:38:51）
MyBB Awaylist index.php "id"参数（12/27/2012 08:29:11）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规