Cisco, Güvenlik Yaması Yayımlandı
Cisco, SQL Injection açıklarını gideren bir yama yayımladı. Cisco Prime License Manager için hazırlanan yama, kimliği doğrulanmamış kullanıcıların SQL sorgularını çalıştırabilmesini sağlayan açığı gidermekte. Cisco Prime License Manager'da keşfedilen SQL injection açığı bu yama ile düzeltilmiş bulunuyor.
Cisco Prime License Manager için hazırlanan yama, kimliği doğrulanmamış kullanıcıların yani saldırganların SQL sorgularını çalıştırabilmesini sağlayan açığı gidermekte. Cisco Prime License Manager'da keşfedilen SQL injection açığı bu yama ile düzeltilmiş bulunuyor. SQL Injection saldırısı, saldırganların uygulamanın veri tabanında bir takım uygulamalar yardımıyla çeşitli SQL komutlarını çalıştırılması olarak açıklanabilir.
License Manager'daki açık kullanıcı tarafından çalıştırılan SQL komutlarının doğru bir şekilde kontrol edilmemesinden kaynaklanmakta. Bu açık sayesinde kullanıcılar zararlı bir SQL komutu çalıştırabilir, tüm verileri silebilir, yeni bir kullanıcı ekleyebilir ve yetki düzenlemesi yapabilir.
CVE-2018-15441 koduna sahip güvenlik açığı Cisco Prime License Manager 11.0.1 ve üzeri versiyonlarını etkilemekte. Cisco Unified Communications Manager ve Cisco Unity Connection 12.0 ve üzeri sürümler açıktan etkilenmemekte çünkü bu sürümlerde License Manager bulunmamakta. Yayımlanan ciscocm.CSCvk30822_v1.0.k3.cop.sgn isimli yama Cisco Prime License Manager ile Cisco Unified Communications Manager ve Cisco Unity Connection 11.5 yazılımlarına uygulanabilir.
Kaynak: IT Security News / E Hacking News
Yorumlar