Computrols CBAS Web SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1618641 漏洞类型 SQL注入
发布时间 2019-11-13 更新时间 2019-11-13
CVE编号 CVE-2019-10852 CNNVD-ID CNNVD-201905-842
漏洞平台 N/A CVSS评分 N/A
|漏洞来源
https://cxsecurity.com/issue/WLB-2019110080
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201905-842
|漏洞详情
Computrols CBAS是美国Computrols公司的一套楼宇自动化系统。 Computrols CBAS Web中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。以下产品及版本受到影响:Computrols CBAS Web 19.0.1之前版本,18.0.1之前版本,15.0.1之前版本,14.0.1之前版本,8.0.7之前版本,7.2.1-Beta之前版本,6.9.2之前版本,4.8.2之前版本,3.15.1之前版本。
|漏洞EXP
Computrols CBAS-Web Authenticated Boolean-based Blind SQL Injection

Affected versions: 19.0.0 and below
CVE: CVE-2019-10852
Advisory: https://applied-risk.com/resources/ar-2019-009
Paper: https://applied-risk.com/resources/i-own-your-building-management-system

by Gjoko 'LiquidWorm' Krstic

PoC (id param):

http://192.168.1.250/cbas/index.php?m=servers&a=start_pulling&id=1 AND 2510=2510
|参考资料

来源:ics-cert.us-cert.gov

链接:https://ics-cert.us-cert.gov/advisories/ICSA-19-141-01