PT-2015-01: Внедрение SQL-кода в Solar-Log WEB

Уязвимое ПО

Solar-Log WEB

Ссылка:
http://www.solar-log.com/

Рейтинг опасности

Уровень опасности: Высокий
Воздействие: Внедрение SQL-кода
Вектор атаки: Удаленный

CVSS v2:
Base Score: 7.5
Vector: (AV:N/AC:L/Au:N/C:P/I:P/A:P)

CVE: отсутствует

Описание программы

Solar-log WEB – веб-приложение, позволяющее специалистам по установке ПО, операторам Портала и поставщикам услуг осуществлять дистанционное управление и контроль состояния устанавливаемых систем.

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Внедрение SQL-кода" в Solar-Log WEB.

Уязвимость "Внедрение SQL-кода" позволяет злоумышленникам, действующим удаленно, выполнить произвольные SQL-команды, используя специально сформированный запрос.

Решение

Установите последнюю версию приложения

Статус уведомления

12.01.2015 - Производителю отправлены детали уязвимости
13.01.2015 - Производитель выпустил исправление
13.02.2015 - Публикация уязвимости

Благодарности

Уязвимость обнаружил Сергей Гордейчик (Исследовательский центр Positive Research компании Positive Technologies)

Ссылки

http://www.securitylab.ru/lab/PT-2015-01

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/

Уязвимости