XMCO : Cisco, Injection SQL au sein du produit Unified Communications Manager
février 2008 par XMCO PARTNERS
Une vulnérabilité a été corrigée au sein du produit ’Cisco Unified
Communications Manager’. L’exploitation de celle-ci permettait à un
attaquant de mener des attaques d’injection SQL.
La faille de sécurité provient d’une mauvaise validation du paramètre
’key’ de l’interface Web avant de l’utiliser au sein d’une requête
SQL. Un pirate pouvait injecter du code SQL malicieux au sein de ce
paramètre dans le but d’accéder à des informations sensibles stockées
en base de données.