Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità critica di tipo SQL injection in Cisco Prime License Manager

cisco  SQL injection   giovedì, 29 novembre 2018

Cisco ha rilasciato un bollettino di sicurezza relativo ad una vulnerabilità critica (CVE-2018-15441) di tipo SQL injection nel codice del framework Web del prodotto software Cisco Prime License Manager (PLM).

La vulnerabilità è legata ad una validazione insufficiente delle query SQL fornite in input dall’utente. Un attaccante potrebbe sfruttare questa vulnerabilità inviando ad un’applicazione affetta richieste HTTP POST appositamente predisposte contenenti istruzioni SQL malevoli. Se sfruttata con successo, questa vulnerabilità può consentire all’attaccante di modificare o cancellare dati arbitrari nel database PLM od ottenere una shell con i privilegi dell’utente postgres.

Risultano affette da questa vulnerabilità le versioni di Cisco PLM a partire dalla 11.0.1.

Al momento non ci sono notizie che questa vulnerabilità sia stata sfruttata in attacchi reali. Cisco ha rilasciato aggiornamenti che risolvono la vulnerabilità nei prodotti affetti. Non sono disponibili soluzioni alternative per mitigare questa vulnerabilità.

Per maggiori dettagli su questa vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili, si raccomanda agli utenti e agli amministratori di prodotti Cisco PLM di consultare il seguente bollettino di sicurezza (in Inglese):

Notizie correlate

Vulnerabilità in prodotti Cisco (17 luglio 2019)

18 luglio 2019

Cisco ha rilasciato il 17 luglio 2019 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti.Leggi tutto

Vulnerabilità in prodotti Cisco (3 luglio 2019)

4 luglio 2019

Cisco ha rilasciato il 3 luglio 2019 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti.Leggi tutto

Aggiornamenti di sicurezza critici per Magento

2 luglio 2019

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 75 vulnerabilità, di cui 9 critiche e altre 10 di gravità elevata.Leggi tutto