针对影响其分析和 GMS 产品的关键漏洞，SonicWall 发布补丁

Hackernews 编译，转载请注明出处：

7月22日，网络安全公司SonicWall发布补丁，以缓解影响其Analytics On-Prem和全球管理系统产品的关键SQL注入（SQLi）漏洞。

该漏洞被跟踪为CVE-2022-22280，在CVSS评分系统上的严重性等级为9.4，源于该公司所描述的SQL命令中使用的“特殊元素的不当中和”，这可能导致未经身份验证的SQL注入。

“如果不在用户可控制的输入中充分删除或引用SQL语法，生成的SQL查询可能会导致这些输入被解释为SQL，而不是普通的用户数据。”MITRE在其对SQL注入的描述中指出。

这可以用于更改查询逻辑以绕过安全检查，或插入修改后端数据库的附加语句，其中可能包括执行系统命令。

DBappSecurity HAT Lab的H4lo和Catalpa发现并报告了影响2.5.0.3-2520 及更早版本的Analytics On-Prem 以及9.3.1-SP2-Hotfix1之前和包括它在内的所有GMS版本的漏洞。

建议依赖易受攻击设备的组织升级到Analytics 2.5.0.3-2520-Hotfix1和GMS 9.3.1-SP2-Hotfix-2。

SonicWall表示：“没有解决这个漏洞的方法，但是，通过整合Web应用程序防火墙来阻止SQLi尝试，可以显着降低被利用的可能性。”

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文