Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità critica di tipo SQL injection in Cisco Prime License Manager

cisco  SQL injection   giovedì, 29 novembre 2018

Cisco ha rilasciato un bollettino di sicurezza relativo ad una vulnerabilità critica (CVE-2018-15441) di tipo SQL injection nel codice del framework Web del prodotto software Cisco Prime License Manager (PLM).

La vulnerabilità è legata ad una validazione insufficiente delle query SQL fornite in input dall’utente. Un attaccante potrebbe sfruttare questa vulnerabilità inviando ad un’applicazione affetta richieste HTTP POST appositamente predisposte contenenti istruzioni SQL malevoli. Se sfruttata con successo, questa vulnerabilità può consentire all’attaccante di modificare o cancellare dati arbitrari nel database PLM od ottenere una shell con i privilegi dell’utente postgres.

Risultano affette da questa vulnerabilità le versioni di Cisco PLM a partire dalla 11.0.1.

Al momento non ci sono notizie che questa vulnerabilità sia stata sfruttata in attacchi reali. Cisco ha rilasciato aggiornamenti che risolvono la vulnerabilità nei prodotti affetti. Non sono disponibili soluzioni alternative per mitigare questa vulnerabilità.

Per maggiori dettagli su questa vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili, si raccomanda agli utenti e agli amministratori di prodotti Cisco PLM di consultare il seguente bollettino di sicurezza (in Inglese):

Notizie correlate

Vulnerabilità in prodotti Cisco (27 marzo 2019)

28 marzo 2019

Cisco ha rilasciato il 27 febbraio 2019 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti, inclusi i sistemi operativi per apparati di rete Cisco IOS e Cisco IOS XE.Leggi tutto

Vulnerabilità in prodotti Cisco (20 marzo 2019)

21 marzo 2019

Cisco ha rilasciato il 20 marzo 2019 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple nei telefoni VoIP professionali Cisco IP Phone 8800 e 7800.Leggi tutto

Vulnerabilità in prodotti Cisco (13 marzo 2019)

14 marzo 2019

Cisco ha rilasciato il 12 marzo 2019 due aggiornamenti di sicurezza che risolvono altrettante vulnerabilità, di cui una critica in Cisco Common Services Platform Collector (CSPC).Leggi tutto