Quest KACE Asset Management Appliance up to 7.2 SQL注入

CVE编号

CVE-2017-12567

利用情况

暂无

补丁情况

N/A

披露时间

2017-08-08

漏洞描述

Quest KACE Systems Management Appliance是美国Quest Software公司的一款IT资产管理设备。 Quest KACE Asset Management Appliance存在SQL注入漏洞，允许远程攻击者利用漏洞提交特制的SQL查询，操作或获取数据库数据。

解决建议

用户可参考如下厂商提供的安全补丁以修复该漏洞：https://support.quest.com/kace-systems-management-appliance/kb/231874

参考链接
https://support.quest.com/kace-systems-management-appliance/kb/231874

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	quest	k1000_as_a_service	7.0	-
	运行在以下环境
	应用	quest	k1000_as_a_service	7.0.121306	-
	运行在以下环境
	应用	quest	k1000_as_a_service	7.1	-
	运行在以下环境
	应用	quest	k1000_as_a_service	7.1.149	-
	运行在以下环境
	应用	quest	k1000_as_a_service	7.2	-
	运行在以下环境
	应用	quest	kace_asset_management_appliance	6.4.120822	-
	运行在以下环境
	应用	quest	kace_asset_management_appliance	7.0	-
	运行在以下环境
	应用	quest	kace_asset_management_appliance	7.0.121306	-
	运行在以下环境
	应用	quest	kace_asset_management_appliance	7.1	-
	运行在以下环境
	应用	quest	kace_asset_management_appliance	7.1.149	-
	运行在以下环境
	应用	quest	kace_asset_management_appliance	7.2	-
	运行在以下环境
	应用	quest	kace_systems_management_appliance	6.4.120822	-
	运行在以下环境
	应用	quest	kace_systems_management_appliance	7.0	-
	运行在以下环境
	应用	quest	kace_systems_management_appliance	7.0.121306	-
	运行在以下环境
	应用	quest	kace_systems_management_appliance	7.1	-
	运行在以下环境
	应用	quest	kace_systems_management_appliance	7.1.149	-
	运行在以下环境
	应用	quest	kace_systems_management_appliance	7.2	-
	运行在以下环境
	应用	quest	kace_systems_management_appliance	7.2.101	-

CVSS3评分 9.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-89	SQL命令中使用的特殊元素转义处理不恰当（SQL注入）

Exp相关链接

- avd.aliyun.com