Advantech iView SQL注入漏洞分析:认证绕过与数据泄露
概述
CVE-2022-50594是Advantech iView软件中存在的一个高危漏洞,影响v5.7.04 Build 6425之前的所有版本。
漏洞描述
Advantech iView v5.7.04 Build 6425之前版本中的SNMP管理工具存在漏洞,远程攻击者能够绕过身份验证检查,通过'NetworkServlet'端点中的'data'参数触发SQL注入漏洞。成功利用此漏洞可导致用户数据泄露,包括明文密码。
技术细节
受影响产品
| ID | 厂商 | 产品 |
|---|---|---|
| 1 | Advantech | iView |
CVSS评分
| 分数 | 版本 | 严重等级 | 数据来源 |
|---|---|---|---|
| 8.8 | CVSS 4.0 | 高危 | disclosure@vulncheck.com |
| 8.8 | CVSS 4.0 | 高危 | 83251b91-4cc7-4094-a5c7-464a1b83ea10 |
关联的CWE弱点
- CWE-89: SQL命令中特殊元素的不当中和(SQL注入)
- CWE-306: 关键功能缺少身份验证
解决方案
- 将Advantech iView更新至版本5.7.04 Build 6425或更高版本
- 应用版本5.7.04 Build 6425或更新版本
- 限制对NetworkServlet端点的访问
- 监控未经授权的数据访问
参考资源
- https://blog.exodusintel.com/2022/03/01/advantech-iview-page_action_service-parameter-sql-injection-remote-code-execution-vulnerability/
- https://www.advantech.tw/support/details/firmware?id=1-HIPU-183
- https://www.vulncheck.com/advisories/advantech-iview-data-parameter-sqli-information-disclosure
攻击模式分类(CAPEC)
- CAPEC-7: 盲SQL注入
- CAPEC-66: SQL注入
- CAPEC-108: 通过SQL注入执行命令行
- CAPEC-109: 对象关系映射注入
- CAPEC-110: 通过SOAP参数篡改进行SQL注入
- CAPEC-470: 从数据库扩展对操作系统的控制
漏洞时间线
- 发布日期: 2025年11月6日 20:15
- 最后修改: 2025年11月6日 20:15
- 远程利用: 是
- 漏洞来源: disclosure@vulncheck.com
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号