关键漏洞信息 漏洞概述 CVE编号: CVE-2022-21225 产品: Intel Data Center Manager 漏洞类型: SQL Injection (CVE-89) 发现日期: 2022-01-21 发布日期: 2022-12-01 CVSSv3 分数: 9.9 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H) 影响版本 Intel Data Center Manager 4.1 及以下版本 漏洞细节 漏洞描述: Intel DCM 的 端点在处理 HTTP POST 参数 时存在认证(Guest+)SQL 注入漏洞。由于应用程序未正确验证和清理该参数,攻击者可以注入任意 SQL 命令,对 Web 应用程序的 PostgreSQL 后端数据库发起攻击。 影响: 成功的攻击可以允许认证的攻击者(最低权限“Guest”即可)读取和修改数据库内容,并在基础操作系统上执行任意系统命令,从而危及系统的机密性、完整性和可用性。 解决方案 修复建议: 升级到至少 5.0.0.46307 版本。 报告时间线 2022-01-21: 发现漏洞 2022-01-21: 通过漏洞悬赏计划报告给厂商 2022-02-08: 厂商确认漏洞并给出 6.8 的 CVSS 评分 2022-02-25: 漏洞评级讨论后,厂商发布 CVSS 9.0 的评级 2022-xx-xx: 厂商发布包含修复的 5.0.0.46307 版本 2022-08-09: 厂商发布 INTEL-SA-00662 顾问声明 2022-12-01: 公开披露漏洞