Parchan vulnerabilidad crítica de SQL Injection en CISCO PLM

29 Noviembre 2018
Crítico

Cisco acaba de publicar una vulnerabilidad crítica que afecta a su plataforma web Primer License Manager (PLM), que podría permitir a un atacante remoto no autenticado, ejecutar consultas SQL arbitrarias; robar bases de datos completas o modificar los datos de las mismas. Por último, podría obtener acceso a una shell con privilegios de usuario.

El fallo se debe a la falta de una adecuada validación de la entrada proporcionada por el usuario en las consultas de SQL. Un atacante podría aprovechar esta vulnerabilidad, enviando solicitudes HTTP POST, que contengan sentencias SQL maliciosas, a una app afectada.

Cisco lanzó parches para solucionar la vulnerabilidad, por lo que se recomienda actualizar el software.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181128-plm-sql-inject

El listado de las CVE se adjunta a continuación:


Tags: #Cisco #primerlcensemanager #plm #sql #web #http


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.