关键漏洞信息 风险等级: Medium 漏洞ID: cisco-sa-20170802-sntc CVE ID: CVE-2017-6754 CWE ID: CWE-89 首次发布日期: 2017-08-02 16:00 GMT 最后更新日期: 2017-08-24 15:30 GMT Cisco Bug ID: CSCvf07617 CVSS Score: 4.3 (Base) 概要 漏洞存在于Cisco Smart Net Total Care (SNTC) Contracts Details Page的Web管理接口中,允许经过身份验证的远程攻击者执行仅读、盲SQL注入攻击,从而可能通过SQL计时攻击破坏系统的机密性。 漏洞是由于对某些用户提供的字段进行的输入验证不足,这些字段随后被受影响的软件用于构建SQL查询。 攻击者可以通过提交经过精心设计的URL来利用此漏洞,这些URL旨在利用漏洞对受影响的软件进行攻击。 成功利用此漏洞可能会使攻击者能够确定受影响软件的SQL数据库中值的存在。 受影响产品 漏洞影响Cisco Smart Net Total Care (SNTC) Contracts Details Pages。 当前没有其他Cisco产品被确认受到此漏洞的影响。 解决方案 有关固定软件的信息,请咨询本建议顶部的Cisco bug ID(s)。 考虑软件升级时,建议客户定期咨询Cisco产品的安全公告,以确定暴露情况和完整的升级解决方案。 客户应确保升级的设备含有足够的内存,并确认当前硬件和软件配置将继续得到新版本的支持。 利用和公共公告 Cisco产品安全事件响应团队 (PSIRT) 目前不知道对于本建议中描述的漏洞有任何公开公告或恶意利用。 来源 此漏洞由Cisco PSIRT内部报告。