Dell SonicWall Scrutinizer SQL注入漏洞

漏洞信息详情

Dell SonicWall Scrutinizer SQL注入漏洞

• CNNVD编号：CNNVD-201407-365
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-4977
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2014-07-17
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-07-17
  
• 厂        商：
  
  sonicwall
• 漏洞来源：

Dell SonicWALL Scrutinizer是美国戴尔（Dell）公司的一套支持多厂商的应用通信分析可视化与报告工具。该工具提供深度包分析、振动/延迟监测和历史及预先报告等功能。

Dell SonicWall Scrutinizer 11.0.1版本中存在SQL注入漏洞，该漏洞源于cgi-bin/admin.cgi页面没有充分过滤创建新用户请求中的‘selectedUserGroup’参数，changeUnit函数没有充分过滤‘user_id’参数，methodDetail函数没有充分过滤‘methodDetail’参数，d4d/exporters.php脚本没有充分过滤xcNetworkDetail函数中的‘xcNetworkDetail’参数。远程攻击者可利用该漏洞执行任意SQL命令。

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：

http://www.dell.com.cn/

来源:gist.github.com

链接:https://gist.github.com/brandonprry/36b4b8df1cde279a9305

来源:gist.github.com

链接:https://gist.github.com/brandonprry/76741d9a0d4f518fe297

来源:XF

链接:http://xforce.iss.net/xforce/xfdb/94439

来源:BID

链接:http://www.securityfocus.com/bid/68495

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Jul/44

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/127429/Dell-Sonicwall-Scrutinizer-11.01-Code-Execution-SQL-Injection.html