PowerProtect: Appliance DM5500 - La scansione di sicurezza rileva "CGI Generic SQL Injection (blind)" sulla porta 443

Summary: PowerProtect Data Manager Appliance [DM5500]: Lo scanner delle vulnerabilità di sicurezza rileva "CGI Generic SQL Injection (blind)" sulla porta 443 come falso positivo.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Lo scanner delle vulnerabilità di sicurezza (rileva quanto segue su DM5500:

ID plug-in Rischio Host Porta Name Sinossi Descrizione Output plug-in
42424 (LINK ESTERNO) Alto Apparecchio TCP/443 Generic SQL Injection CGI (cieco) Un'applicazione CGI ospitata sul server web remoto è potenzialmente soggetta ad attacchi SQL injection.

Il software di scansione può ottenere rendimenti diversi inviando parametri appositamente predisposti allo script CGI ospitato sul server Web. Ciò suggerisce che potrebbe modificare il comportamento dell'applicazione e accedere direttamente al database sottostante.

 

Ciò potrebbe consentire a un utente malintenzionato di ignorare l'autenticazione, accedere a dati riservati, modificare il database o persino ottenere il controllo del sistema operativo remoto.

 Con il metodo "GET HTTP", lo scanner ha rilevato che:

+ Le seguenti risorse possono essere vulnerabili alla blind SQL injection:

+ Il parametro 'clientId' di /iam-token-handler/public/authorize CGI:
/iam-token-handler/public/authorize?clientId=common-gui-service'||'common-gui-service


Output -------- --------
HTTP/1.1 302
-------- rispetto a --------
HTTP/1.1 400
------------------------

Cause

Poiché /iam-token-handler/public/authorize può rispondere con 302 e 400 da richieste diverse, lo scanner di vulnerabilità presume di essere a rischio di una vulnerabilità SQL injection.

Resolution

Il team di progettazione Dell ha confermato che si tratta di un falso positivo

Il gestore dei token non interagisce con alcun database. 

Affected Products

PowerProtect Data Manager Appliance, PowerProtect DM5500
Article Properties
Article Number: 000236546
Article Type: Solution
Last Modified: 17 Oct 2024
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.