SonicWall

红海官网资讯科技有限公司

SonicWall 修复关键 SQL 注入漏洞

关键要点

  • SonicWall 已修复其 Analytics On-Prem 和 Global Management System 产品中一个关键的 SQL 注入漏洞。
  • 漏洞编号为 CVE-2022-22280,可能导致未授权的 SQL 注入。
  • 此漏洞影响 Analytics On-Prem 2.5.0.3-2520 及早期版本,GMS 版本 9.3.1-SP2-Hotfix1 及早期版本。
  • SonicWall 建议用户更新到最新补丁版本,以降低漏洞被利用的风险。

SonicWall 最近修复了其 Analytics On-Prem 和 Global Management System 解决方案中的一个关键 漏洞,该漏洞可能被利用以进行未认证的 SQL 注入攻击。根据 的报道,此漏洞的追踪编号为 CVE-2022-22280,由 DBappSecurity HAT Lab的研究人员 H4lo 和 Catalpa 在 Analytics On-Prem 2.5.0.3-2520 及早期版本,以及 GMS9.3.1-SP2-Hotfix1 及早期版本中发现并报告。

MITRE指出,SQL
注入漏洞可能被利用以修改查询逻辑,从而避开安全检查,并通过后端数据库修改触发系统命令执行。“如果用户控制的输入没有被充分清除或引用,生成的 SQL
查询可能会将这些输入解释为 SQL 而不是普通用户数据,”MITRE 表示。

SonicWall 还指出,此漏洞没有任何变通办法,但该公司建议通过引入 Web 应用防火墙(WAF)来阻止 SQL注入尝试,从而显著降低漏洞被利用的可能性。SonicWall 呼吁组织尽快应用 Analytics 2.5.0.3-2520-Hotfix1 和 GMS9.3.1-SP2-Hotfix-2 更新,以保障系统安全。

受影响版本 | 修复更新
—|—
Analytics On-Prem 2.5.0.3-2520 及早期版本 | 2.5.0.3-2520-Hotfix1
GMS 9.3.1-SP2-Hotfix1 及早期版本 | 9.3.1-SP2-Hotfix-2

更多信息请查看 SonicWall 官方网站和相关文档,以确保您的系统处于最新安全状态。

Leave a Reply

Your email address will not be published. Required fields are marked *