Ağ güvenliği şirketi SonicWall, Analytics On-Prem ve Global Management System (GMS) ürünlerini etkileyen kritik bir SQL enjeksiyonu (SQLi) güvenlik açığını azaltmak için Cuma günü düzeltmeler yayınladı.
Güvenlik açığı, şu şekilde izlendi: CVE-2022-22280.
“Kullanıcı tarafından kontrol edilebilen girdilerde SQL sözdiziminin yeterince kaldırılması veya alıntılanması olmadan, oluşturulan SQL sorgusu, bu girdilerin sıradan kullanıcı verileri yerine SQL olarak yorumlanmasına neden olabilir.” notlar SQL enjeksiyon açıklamasında.
“Bu, güvenlik kontrollerini atlamak için sorgu mantığını değiştirmek veya muhtemelen sistem komutlarının yürütülmesi dahil olmak üzere arka uç veritabanını değiştiren ek ifadeler eklemek için kullanılabilir.”
DBappSecurity HAT Lab’den H4lo ve Catalpa, aşağıdakileri etkileyen kusurları keşfetme ve bildirme konusunda itibar kazanmıştır. 2.5.0.3-2520 ve önceki sürümler Analytics On-Prem’in yanı sıra tüm sürümlerinin 9.3.1-SP2-Hotfix1 öncesi ve dahil GMS.
Güvenlik açığı bulunan cihazlara güvenen kuruluşların Analytics 2.5.0.3-2520-Hotfix1 ve GMS 9.3.1-SP2-Hotfix-2’ye yükseltme yapmaları önerilir.
SonicWall, “Bu güvenlik açığı için kullanılabilecek bir geçici çözüm yok” dedi. “Ancak, SQLi girişimlerini engellemek için bir Web Uygulaması Güvenlik Duvarı (WAF) ekleyerek istismar olasılığı önemli ölçüde azaltılabilir.”