Из-за неправильной нейтрализации специальных элементов операторы SQL могут быть внедрены посредством подтверждения соединения TLS-SRP. Это можно использовать для ввода известных учетных данных в базу данных, которые можно использовать для успешного завершения установления связи и использования защищенной службы.
Эта проблема затрагивает MR9600: 1.0.4.205530; МХ4200: 1.0.13.210200.
Показать оригинальное описание (EN)
Due to improper neutralization of special elements, SQL statements can be injected via the handshake of a TLS-SRP connection. This can be used to inject known credentials into the database that can be utilized to successfully complete the handshake and use the protected service. This issue affects MR9600: 1.0.4.205530; MX4200: 1.0.13.210200.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1