Уязвимость внедрения произвольных SQL-запросов при первичном установлении соединения через атаку типа "человек посередине"
Описание
Когда сервер настроен на использование аутентификации на основе доверия с требованием клиентского сертификата или аутентификации с использованием сертификатов, злоумышленник, выполняющий атаку "человек посередине" (MITM), может внедрить произвольные SQL-запросы при первичном установлении соединения, несмотря на использование проверки SSL-сертификата и шифрования.
Тип уязвимости
Внедрение SQL-запросов
Ссылки
- Issue TrackingPatchThird Party Advisory
- PatchThird Party Advisory
- Third Party Advisory
- Vendor Advisory
- Issue TrackingPatchThird Party Advisory
- PatchThird Party Advisory
- Third Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
Одно из
Одно из
EPSS
8.1 High
CVSS3
5.1 Medium
CVSS2
Дефекты
Связанные уязвимости
When the server is configured to use trust authentication with a clientcert requirement or to use cert authentication, a man-in-the-middle attacker can inject arbitrary SQL queries when a connection is first established, despite the use of SSL certificate verification and encryption.
When the server is configured to use trust authentication with a clientcert requirement or to use cert authentication, a man-in-the-middle attacker can inject arbitrary SQL queries when a connection is first established, despite the use of SSL certificate verification and encryption.
When the server is configured to use trust authentication with a clien ...
EPSS
8.1 High
CVSS3
5.1 Medium
CVSS2