PowerProtect: Enhet DM5500 – Säkerhetsgenomsökningen upptäcker "CGI Generic SQL Injection (blind)" på port 443

Summary: PowerProtect Data Manager-enhet [DM5500]: Skannern för säkerhetsproblem identifierar "CGI Generic SQL Injection (blind)" på port 443 som falskt positiv.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Skannern för säkerhetsproblem (identifierar följande på DM5500:

Plugin-ID Risk Värd Port Namn Sammanfattning Beskrivning Plugin-utgång
42424 (EXTERN LÄNK) Hög Apparat TCP/443 CGI Generic SQL Injection (blind) Ett CGI-program som finns på fjärrwebbservern kan vara utsatt för SQL-injektionsattacker.

Skanningsprogramvaran kan få olika returer genom att skicka speciellt utformade parametrar till CGI-skriptet som finns på webbservern. Detta tyder på att det kan ändra programmets beteende och direkt komma åt den underliggande databasen.

 

Detta kan göra det möjligt för en angripare att kringgå autentisering, komma åt konfidentiella data, ändra databasen eller till och med få kontroll över fjärroperativsystemet.

 Med metoden "GET HTTP" upptäckte skannern att:

+ Följande resurser kan vara sårbara för blind SQL-injektion:

+ Parametern "clientId" i CGI:n /iam-token-handler/public/authorize:
/iam-token-handler/public/authorize?clientId=common-gui-service'||'common-gui-service


-------- utdata --------
HTTP/1.1 302
-------- jämfört med --------
HTTP/1.1 400
------------------------

Cause

Eftersom /iam-token-handler/public/authorize kan svara med 302 och 400 från olika begäranden förutsätter sårbarhetsskannern att den är i riskzonen för en SQL-inmatningssårbarhet.

Resolution

Dells teknikteam har bekräftat att detta är ett falskt positivt resultat

Tokenhanteraren interagerar inte med någon av databaserna. 

Affected Products

PowerProtect Data Manager Appliance, PowerProtect DM5500
Article Properties
Article Number: 000236546
Article Type: Solution
Last Modified: 17 Oct 2024
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.