Cisco Firepower Management Center Software – wiele wersji
Numer CVE
CVE-2024-20360
Krytyczność
8.8/10
CVSS
AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis
Luka w internetowym interfejsie zarządzania oprogramowania Cisco Firepower Management Center (FMC) może umożliwić uwierzytelnionej, zdalnej osobie atakującej przeprowadzenie ataków polegających na wstrzykiwaniu kodu SQL na zagrożony system. Luka ta występuje, ponieważ internetowy interfejs zarządzania nie sprawdza odpowiednio danych wprowadzanych przez użytkownika. Osoba atakująca może wykorzystać tę lukę, uwierzytelniając się w aplikacji i wysyłając spreparowane zapytania SQL do systemu, którego dotyczy luka. Udany exploit może umożliwić atakującemu uzyskanie dowolnych danych z bazy danych, wykonanie dowolnych poleceń w podstawowym systemie operacyjnym i podniesienie uprawnień do uprawnień roota. Aby wykorzystać tę lukę, osoba atakująca potrzebuje co najmniej poświadczeń użytkownika tylko do odczytu.