Huawei VCN500 SQL注入漏洞

2015-12-22T00:00:00
ID SSV:90157
Type seebug
Reporter Root
Modified 2015-12-22T00:00:00

Description

华为VCN500(Video Cloud Node)视频云节点产品中OMU模块对收到的HTTP请求消息没有做参数校验,攻击者可发送手工构造的报文对系统发起SQL注入攻击。攻击者可以利用该漏洞获取VCN500中的用户数据或进行非法操作。

技术细节

  1. 前提条件:

攻击者可以以合法用户身份登录VCN500。

  1. 攻击步骤:

攻击者构造特殊的HTTP请求报文发送给VCN500的OMU模块。