Программа:
CA BrightStor Portal 11.x
CA CleverPath Aion 10.x
CA CleverPath Portal 4.x
CA eTrust Security Command Center 1.x
CA eTrust Security Command Center 8.x
CA Unicenter Asset Portfolio Management 11.x
CA Unicenter Database Management Portal 11.x
CA Unicenter Management Portal 11.x
CA Unicenter Management Portal 2.x
CA Unicenter Management Portal 3.x

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре "ofinterest" в light поиске или параметре "description" в расширенном поиске. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

https://foo.bar:fooport/servlet/portal/search/
execute?CHARSET=UTF-8&showtemplate=
false&OFINTEREST=’%20and%20’a'<all(select
%20table_name%20from%20iicolumns%20where
%20table_name>’b’)%20or%20’1’=’1&
showtemplate=false



Оставить мнение