A10 ACOS Web Application Firewall up to 2.7.0/2.7.2-P11/4.1.0-P10/4.1.1-P7/4.1.2-P3 SQL Injection Bypass privilege escalation

CVE编号

CVE-2018-15904

利用情况

暂无

补丁情况

N/A

披露时间

2018-08-28

漏洞描述

A10 ACOS Web Application Firewall（WAF）是美国睿科网络（A10 Networks）公司的Web应用程序防火墙，它能够防止注入、跨站脚本和跨站请求伪造等漏洞。
A10 ACOS WAF中存在SQL注入漏洞，该漏洞源于程序未能正确处理配置规则。攻击者可通过发送特制的SQL语句利用该漏洞执行任意SQL命令。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www.a10networks.com/support/security-advisories/waf-sql-injection-attack-sqlia-vulnerability

参考链接
https://www.a10networks.com/support/security-advisories/waf-sql-injection-att...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	a10networks	acos_web_application_firewall	2.7.1	-
	运行在以下环境
	应用	a10networks	acos_web_application_firewall	2.7.2	-
	运行在以下环境
	应用	a10networks	acos_web_application_firewall	4.1.0	-
	运行在以下环境
	应用	a10networks	acos_web_application_firewall	4.1.1	-
	运行在以下环境
	应用	a10networks	acos_web_application_firewall	4.1.2	-

攻击路径网络
攻击复杂度低
权限要求无
影响范围未更改
用户交互无
可用性高
保密性高
完整性高

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-89 SQL命令中使用的特殊元素转义处理不恰当（SQL注入）

正文

A10 ACOS Web Application Firewall up to 2.7.0/2.7.2-P11/4.1.0-P10/4.1.1-P7/4.1.2-P3 SQL Injection Bypass privilege escalation

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

Cisco Web Security Appliance devices安全机制绕过漏洞

Oracle Fusion Middleware Web Cache SSL Support组件存在未明漏洞

Oracle Fusion Middleware Web Cache SSL Support组件存在未明漏洞（CNVD-2016-00580）

Oracle Fusion Middleware Web Cache SSL Support组件存在未明漏洞（CNVD-2016-00579）

发表评论取消回复

还没有评论，来说两句吧...

目录[+]