قامت سيسكو بتصحيح ثغرة أمنية خاصة بحقنSQL   في تطبيق ادارة التراخيص مما قد يسمح لمهاجم او مستخدم غير مرخص بتنفيذ استعلامات SQL عشوائية عن بعد.

سبب الثغرة في برمجية إطار الويب web framework code الخاص بالمنتج هو عدم التحقق من صحة المدخلات التي يوفرها المستخدم في استعلامات SQL ، ونتيجة لذلك ، يمكن أن يستغل المهاجم هذه الثغرة الأمنية عن طريق إرسال طلبات HTTP POST التي تحتوي على عبارات SQL الضارة إلى التطبيق , كما نشرت سيسكو في تحذيرها في موقعها  الرسمي.

تؤثر هذه الثغرة على الإصدار 11.0.1 من إصدارات Cisco Prime License Manager والإصدارات الأحدث منه ، ويتأثر كل من عمليات الانتشار المستقلة standalone deployments  لـ Cisco Prime License Manager  وعمليات الانتشار المشتركة . co-resident deployments

وذكرت سيسكو في تحذيرها: ” قد يسمح استغلال ناجح  للمهاجم  بتعديل وحذف البيانات العشوائية  في قاعدة بيانات الـ PLM   أو الحصول على الوصول إلى الشيل shell  بامتيازات مستخدم  postgres  “.  واصدرت شركة Cisco تحديثات للبرنامج تعالج هذه الثغرة الأمنية” .

 

 

المصدر:

https://www.scmagazine.com/home/security-news/cisco-patches-prime-license-manager-sql-injection-vulnerability/