PowerProtect: Equipamento DM5500 - A verificação de segurança detecta "CGI Generic SQL Injection (blind)" na porta 443

Summary: Equipamento PowerProtect Data Manager [DM5500]: O verificador de vulnerabilidade de segurança detecta "CGI Generic SQL Injection (blind)" na porta 443 como falso positivo.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Check out other resources

Symptoms

O verificador de vulnerabilidade de segurança (detecta o seguinte no DM5500:

ID do plug-in Risco Host Porta Nome Sinopse Descrição Saída do plug-in

42424 (LINK EXTERNO)

High

Equipamento

TCP/443

Injeção de SQL genérico de CGI (cego)

Um aplicativo CGI hospedado no servidor Web remoto é potencialmente propenso a ataques de injeção de SQL.

O software de digitalização pode obter retornos diferentes enviando parâmetros especialmente criados para o script CGI hospedado no servidor Web. Isso sugere que ele poderia modificar o comportamento do aplicativo e acessar diretamente o banco de dados subjacente.

Isso pode permitir que um invasor ignore a autenticação, acesse dados confidenciais, modifique o banco de dados ou até mesmo obtenha o controle do sistema operacional remoto.

Com o método "GET HTTP", o scanner descobriu que:

+ Os seguintes recursos podem ser vulneráveis à injeção cega de SQL:

+ O parâmetro 'clientId' do CGI /iam-token-handler/public/author:

/iam-token-handler/public/authorize?clientId=common-gui-service'||'common-gui-service

-------- saída --------
HTTP/1.1 302
-------- vs --------
HTTP/1.1 400
------------------------

Cause

Como o /iam-token-handler/public/authorize pode responder com 302 e 400 de solicitações diferentes, o mecanismo de varredura de vulnerabilidade assume que ele corre o risco de uma vulnerabilidade de injeção de SQL.

Resolution

A equipe de engenharia da Dell confirmou que este é um falso positivo.

O manipulador de token não interage com nenhum dos bancos de dados.

Affected Products

PowerProtect Data Manager Appliance, PowerProtect DM5500

Article Number: 000236546

Article Type: Solution

Last Modified: 17 Oct 2024

Version: 1

Check if your device is covered by Support Services.

PowerProtect: Equipamento DM5500 - A verificação de segurança detecta "CGI Generic SQL Injection (blind)" na porta 443

Summary: Equipamento PowerProtect Data Manager [DM5500]: O verificador de vulnerabilidade de segurança detecta "CGI Generic SQL Injection (blind)" na porta 443 como falso positivo.

Symptoms

Cause

Resolution

Affected Products

Article Properties

Find answers to your questions from other Dell users

Support Services

Article Properties

Find answers to your questions from other Dell users

Support Services

PowerProtect: Equipamento DM5500 - A verificação de segurança detecta "CGI Generic SQL Injection (blind)" na porta 443

Summary: Equipamento PowerProtect Data Manager [DM5500]: O verificador de vulnerabilidade de segurança detecta "CGI Generic SQL Injection (blind)" na porta 443 como falso positivo.

Detailed Article

Symptoms

Cause

Resolution

Affected Products

Symptoms

Cause

Resolution

Affected Products

Article Properties

Find answers to your questions from other Dell users

Support Services

Article Properties

Find answers to your questions from other Dell users

Support Services