Cisco Prime Infrastructure and Evolved Programmable Network Manager SQL注入漏洞

CVE编号

CVE-2016-6443

利用情况

暂无

补丁情况

N/A

披露时间

2016-10-28

漏洞描述

Cisco Prime Infrastructure（PI）和Cisco Evolved Programmable Network Manager（EPNM）都是美国思科（Cisco）公司的产品。PI是一套通过Cisco Prime LAN Management Solution（LMS）和Cisco Prime Network Control System（NCS）技术进行无线管理的解决方案；EPNM是一套网络管理解决方案。
Cisco Prime Infrastructure and Evolved Programmable Network Manager存在SQL注入漏洞，允许攻击者利用该漏洞在底层数据库危及应用程序，访问或修改数据，或利用潜在的漏洞。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161012-prime

参考链接
http://www.securityfocus.com/bid/93522
http://www.securitytracker.com/id/1037006
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	cisco	evolved_programmable_network_manager	1.2	-
	运行在以下环境
	应用	cisco	evolved_programmable_network_manager	2.0	-
	运行在以下环境
	应用	cisco	prime_infrastructure	1.2	-
	运行在以下环境
	应用	cisco	prime_infrastructure	1.2.0.103	-
	运行在以下环境
	应用	cisco	prime_infrastructure	1.2.1	-
	运行在以下环境
	应用	cisco	prime_infrastructure	1.3	-
	运行在以下环境
	应用	cisco	prime_infrastructure	1.3.0.20	-
	运行在以下环境
	应用	cisco	prime_infrastructure	1.4	-
	运行在以下环境
	应用	cisco	prime_infrastructure	1.4.0.45	-
	运行在以下环境
	应用	cisco	prime_infrastructure	1.4.1	-
	运行在以下环境
	应用	cisco	prime_infrastructure	1.4.2	-
	运行在以下环境
	应用	cisco	prime_infrastructure	2.0	-
	运行在以下环境
	应用	cisco	prime_infrastructure	2.1.0	-
	运行在以下环境
	应用	cisco	prime_infrastructure	2.2	-
	运行在以下环境
	应用	cisco	prime_infrastructure	2.2(2)	-
	运行在以下环境
	应用	cisco	prime_infrastructure	3.0	-
	运行在以下环境
	应用	cisco	prime_infrastructure	3.1	-
	运行在以下环境
	应用	cisco	prime_infrastructure	3.1.1	-

CVSS3评分 8.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-89 SQL命令中使用的特殊元素转义处理不恰当（SQL注入）