漏洞信息(CVE-2022-38130)

一、漏洞 CVE-2022-38130 基础信息

漏洞信息

                                        # N/A

## 漏洞概述
com.keysight.tentacle.config.ResourceManager.smsRestoreDatabaseZip() 方法用于恢复 SMS 使用的 HSQLDB 数据库。该方法接受压缩数据库文件的路径作为参数。未经身份验证的远程攻击者可以通过指定 UNC 路径（如 `\\<attacker-host>\sms\<attacker-db.zip>`）控制要恢复的数据库内容。

## 影响版本
未提供具体影响版本信息。

## 漏洞细节
smsRestoreDatabaseZip() 方法会接受一个数据库文件的路径作为参数。攻击者可以通过提供一个 UNC 路径指向自己的主机，从而将数据库文件替换为攻击者控制的内容。这使得攻击者能够远程控制数据库的恢复过程。

## 影响
未经身份验证的远程攻击者能够利用此漏洞，通过指定恶意的 UNC 路径，恢复一个由攻击者控制的内容的数据库，从而可能对系统造成重大影响，包括数据泄露、非法数据恢复等。

神龙判断

是否为 Web 类漏洞： 是

判断理由：

是。这个漏洞存在于Web服务的服务端，允许未认证的远程攻击者通过指定UNC路径来控制要恢复的数据库内容，从而实现数据库的非法控制和篡改。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The com.keysight.tentacle.config.ResourceManager.smsRestoreDatabaseZip() method is used to restore the HSQLDB database used in SMS. It takes the path of the zipped database file as the single parameter. An unauthenticated, remote attacker can specify an UNC path for the database file (i.e., \\<attacker-host>\sms\<attacker-db.zip>), effectively controlling the content of the database to be restored.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Keysight Technologies Sensor Management Server SQL注入漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Keysight Technologies Sensor Management Server是美国Keysight Technologies公司的一种传感器管理服务器。 Keysight Technologies Sensor Management Server（SMS）存在安全漏洞，该漏洞源于未经身份验证的远程攻击者可以通过com.keysight.tentacle.config.ResourceManager.smsRestoreDatabaseZip()方法为数据库文件指定UNC路径从而有效地控制S

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

SQL注入

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2022-38130 的公开POC

#	POC 描述	源链接	神龙链接
1	The com.keysight.tentacle.config.ResourceManager.smsRestoreDatabaseZip() method is used to restore the HSQLDB database used in SMS. It takes the path of the zipped database file as the single parameter. An unauthenticated, remote attacker can specify an UNC path for the database file (i.e., \\<attacker-host>\sms\<attacker-db.zip>), effectively controlling the content of the database to be restored.	https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2022/CVE-2022-38130.yaml	POC详情

三、漏洞 CVE-2022-38130 的情报信息

四、漏洞 CVE-2022-38130 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2022-38130 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2022-38130 的公开POC

三、漏洞 CVE-2022-38130 的情报信息

四、漏洞 CVE-2022-38130 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2022-38130 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2022-38130 的公开POC

三、漏洞 CVE-2022-38130 的情报信息

四、漏洞 CVE-2022-38130 的评论

发表评论

一、漏洞 CVE-2022-38130 基础信息