Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità critica di tipo SQL injection in Cisco Prime License Manager

cisco  SQL injection   giovedì, 29 novembre 2018

Cisco ha rilasciato un bollettino di sicurezza relativo ad una vulnerabilità critica (CVE-2018-15441) di tipo SQL injection nel codice del framework Web del prodotto software Cisco Prime License Manager (PLM).

La vulnerabilità è legata ad una validazione insufficiente delle query SQL fornite in input dall’utente. Un attaccante potrebbe sfruttare questa vulnerabilità inviando ad un’applicazione affetta richieste HTTP POST appositamente predisposte contenenti istruzioni SQL malevoli. Se sfruttata con successo, questa vulnerabilità può consentire all’attaccante di modificare o cancellare dati arbitrari nel database PLM od ottenere una shell con i privilegi dell’utente postgres.

Risultano affette da questa vulnerabilità le versioni di Cisco PLM a partire dalla 11.0.1.

Al momento non ci sono notizie che questa vulnerabilità sia stata sfruttata in attacchi reali. Cisco ha rilasciato aggiornamenti che risolvono la vulnerabilità nei prodotti affetti. Non sono disponibili soluzioni alternative per mitigare questa vulnerabilità.

Per maggiori dettagli su questa vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili, si raccomanda agli utenti e agli amministratori di prodotti Cisco PLM di consultare il seguente bollettino di sicurezza (in Inglese):

Notizie correlate

Vulnerabilità in PostgreSQL consente esecuzione di comandi arbitrari

15 novembre 2018

È stata scoperta una grave vulnerabilità di tipo SQL injection in PostgreSQL che può consentire l'esecuzione di query SQL arbitrarie.Leggi tutto

Vulnerabilità in prodotti Cisco (7 novembre 2018)

8 novembre 2018

Cisco ha rilasciato il 7 novembre 2018 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti.Leggi tutto

Vulnerabilità di tipo DoS in prodotti Cisco ASA e Cisco Firepower Threat Defense

2 novembre 2018

Cisco ha rilasciato un bollettino di sicurezza relativo ad una vulnerabilità di gravità elevata nei prodotti software Cisco Adaptive Security Appliance (ASA) e Cisco Firepower Threat Defense (FTD).Leggi tutto