PowerProtect: Dispositivo DM5500: el análisis de seguridad detecta "CGI Generic SQL Injection (ciego)" en el puerto 443

Summary: Dispositivo PowerProtect Data Manager (DM5500) El escáner de vulnerabilidades de seguridad detecta "CGI Generic SQL Injection (Blind)" en el puerto 443 como falso positivo.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Check out other resources

Symptoms

El escáner de vulnerabilidades de seguridad (detecta lo siguiente en DM5500):

ID del plug-in Riesgo Host Puerto Nombre Sinopsis Descripción Salida del plug-in

42424 (ENLACE EXTERNO)

Alta

Aparato

TCP/443

CGI Inyección SQL genérica (ciego)

Una aplicación CGI alojada en el servidor web remoto es potencialmente propensa a ataques de inyección SQL.

El software de escaneo puede obtener diferentes rendimientos mediante el envío de parámetros especialmente diseñados al script CGI alojado en el servidor web. Esto sugiere que podría modificar el comportamiento de la aplicación y acceder directamente a la base de datos subyacente.

Esto podría permitir a un atacante eludir la autenticación, acceder a datos confidenciales, modificar la base de datos o incluso obtener el control del sistema operativo remoto.

Con el método "GET HTTP", el escáner descubrió que:

+ Los siguientes recursos pueden ser vulnerables a la inyección SQL ciega:

+ El parámetro 'clientId' del CGI /iam-token-handler/public/authorize:

/iam-token-handler/public/authorize?clientId=common-gui-service'||'common-gui-service

-------- resultado --------
HTTP/1.1 302
-------- frente a --------
HTTP/1.1 400
------------------------

Cause

Debido a que /iam-token-handler/public/authorize puede responder con 302 y 400 de diferentes solicitudes, el escáner de vulnerabilidades asume que está en riesgo de una vulnerabilidad de inyección SQL.

Resolution

El equipo de ingeniería de Dell confirmó que se trata de un falso positivo.

El controlador de tokens no interactúa con ninguna de las bases de datos.

Affected Products

PowerProtect Data Manager Appliance, PowerProtect DM5500

Article Number: 000236546

Article Type: Solution

Last Modified: 17 Oct 2024

Version: 1

Check if your device is covered by Support Services.

PowerProtect: Dispositivo DM5500: el análisis de seguridad detecta "CGI Generic SQL Injection (ciego)" en el puerto 443

Summary: Dispositivo PowerProtect Data Manager (DM5500) El escáner de vulnerabilidades de seguridad detecta "CGI Generic SQL Injection (Blind)" en el puerto 443 como falso positivo.

Symptoms

Cause

Resolution

Affected Products

Article Properties

Find answers to your questions from other Dell users

Support Services

Article Properties

Find answers to your questions from other Dell users

Support Services

PowerProtect: Dispositivo DM5500: el análisis de seguridad detecta "CGI Generic SQL Injection (ciego)" en el puerto 443

Summary: Dispositivo PowerProtect Data Manager (DM5500) El escáner de vulnerabilidades de seguridad detecta "CGI Generic SQL Injection (Blind)" en el puerto 443 como falso positivo.

Detailed Article

Symptoms

Cause

Resolution

Affected Products

Symptoms

Cause

Resolution

Affected Products

Article Properties

Find answers to your questions from other Dell users

Support Services

Article Properties

Find answers to your questions from other Dell users

Support Services