Dell SonicWALL Scrutinizer “q” 参数SQL注入漏洞

漏洞信息详情

Dell SonicWALL Scrutinizer “q” 参数SQL注入漏洞

• CNNVD编号：CNNVD-201207-563
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-2962
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2012-07-30
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-07-30
  
• 厂        商：
  
  sonicwall
• 漏洞来源：

Dell SonicWALL Scrutinizer是美国戴尔（Dell）公司的一套支持多厂商的应用通信分析可视化与报告工具。该工具提供深度包分析、振动/延迟监测和历史及预先报告等功能。

Dell SonicWALL Scrutinizer（又称Plixer Scrutinizer） 9.5.2之前版本中存在漏洞，可被恶意攻击者利用进行SQL注入攻击。该漏洞源于通过‘q’参数传送到d4d/statusFilter.php脚本中的输入在用于SQL查询之前未经正确验证。攻击者可利用该漏洞通过注入任意SQL代码操控SQL查询。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.kb.cert.org/vuls/id/404051

来源:US-CERT Vulnerability Note: VU#404051

名称: VU#404051

链接:http://www.kb.cert.org/vuls/id/404051

来源: XF

名称: scrutinizer-statusfilter-sql-injection(77148)

链接:http://xforce.iss.net/xforce/xfdb/77148

来源: www.sonicwall.com

链接:http://www.sonicwall.com/shared/download/Dell_SonicWALL_Scrutinizer_Service_Bulletin_for_SQL_injection_vulnerability_CVE.pdf

来源: BID

名称: 54625

链接:http://www.securityfocus.com/bid/54625

来源: OSVDB

名称: 84232

链接:http://www.osvdb.org/84232

来源: EXPLOIT-DB

名称: 20033

链接:http://www.exploit-db.com/exploits/20033

来源: SECUNIA

名称: 50052

链接:http://secunia.com/advisories/50052

来源: http:

链接:http://http://www.plixer.com/Press-Releases/plixer-releases-9-5-2.html