Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità critica di tipo SQL injection in Cisco Prime License Manager

cisco  SQL injection   giovedì, 29 novembre 2018

Cisco ha rilasciato un bollettino di sicurezza relativo ad una vulnerabilità critica (CVE-2018-15441) di tipo SQL injection nel codice del framework Web del prodotto software Cisco Prime License Manager (PLM).

La vulnerabilità è legata ad una validazione insufficiente delle query SQL fornite in input dall’utente. Un attaccante potrebbe sfruttare questa vulnerabilità inviando ad un’applicazione affetta richieste HTTP POST appositamente predisposte contenenti istruzioni SQL malevoli. Se sfruttata con successo, questa vulnerabilità può consentire all’attaccante di modificare o cancellare dati arbitrari nel database PLM od ottenere una shell con i privilegi dell’utente postgres.

Risultano affette da questa vulnerabilità le versioni di Cisco PLM a partire dalla 11.0.1.

Al momento non ci sono notizie che questa vulnerabilità sia stata sfruttata in attacchi reali. Cisco ha rilasciato aggiornamenti che risolvono la vulnerabilità nei prodotti affetti. Non sono disponibili soluzioni alternative per mitigare questa vulnerabilità.

Per maggiori dettagli su questa vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili, si raccomanda agli utenti e agli amministratori di prodotti Cisco PLM di consultare il seguente bollettino di sicurezza (in Inglese):

Notizie correlate

Grave vulnerabilità in Cisco Network Assurance Engine

14 febbraio 2019

Cisco ha rilasciato un bollettino di sicurezza relativo ad una vulnerabilità di gravità elevata nel prodotto software Cisco Network Assurance Engine (NAE).Leggi tutto

Vulnerabilità in prodotti Cisco (6 febbraio 2019)

7 febbraio 2019

Cisco ha rilasciato il 6 febbraio 2019 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti.Leggi tutto

Vulnerabilità in prodotti Cisco (23 gennaio 2019)

24 gennaio 2019

Cisco ha rilasciato il 23 gennaio 2019 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti.Leggi tutto