CA Total Defense Suite UnassignAdminRoles SQL注入漏洞(CVE-2011-1653)

关键信息 标题: CA Total Defense Suite UnassignAdminRoles Stored Procedure SQL Injection Vulnerability 漏洞标识: - ZDI-11-129 - ZDI-CAN-1039 - CVE ID: CVE-2011-1653 CVSS评分: 10.0, AV:N/AC:L/Au:N/C:C/I:C/A:C 受影响的厂商: CA 受影响的产品: Total Defense Suite 漏洞细节: - 该漏洞允许远程攻击者在易受攻击的CA Total Defense Suite安装上执行任意代码。利用此漏洞不需要进行身份验证。 - 具体的缺陷存在于UnassignAdminRoles存储过程，可通过 management.asmx 控制台访问。Management Web Service 侦听 SOAP 1.2 请求，端口 34444 HTTP 和 34443 HTTPS。由于在 UnAssignFunctionalUsers 存储过程的实现中存在缺陷，远程未经身份验证的用户可以注入 SOAP 请求中的任意 SQL 命令，最终导致在 SYSTEM 用户上下文中执行任意代码。 Google提供详情: CA 已发布更新以纠正该漏洞，更多详细信息可在以下链接中找到: CA Support Link 披露时间线: - 2011-01-21 - 向供应商报告漏洞 - 2011-04-13 - 协调公开发布咨询 发现者: Andrea Micalizzi aka rgod

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CA Total Defense Suite UnassignAdminRoles SQL注入漏洞(CVE-2011-1653)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！