一、 漏洞 CVE-2016-4350 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在SolarWinds存储资源监控(SRM)性能分析器(formerly Storage Manager)之前,在6.2.3版本之前,Web服务Web服务器的多个SQL注入漏洞允许远程攻击者通过脚本Servlet中的(1)脚本计划参数;WindowsEventLogsServlet中的(2)winEventId或(3)winEventLog参数;进程Servlet中的(4)进程OS参数;备份异常Servlet中的(5)组,(6)组名或(7)客户端名称参数;备份 AssociationServlet 中的(8)valDB或(9)valFS参数;主机存储Servlet中的(10)orderBy或(11)顺序目录参数;重复文件Servlet中的(12)文件名,(13)排序字段或(14)排序方向参数;量子 Monitor Servlet 中的(15)顺序Fld或(16)顺序目录参数;NbuErrorMessageServlet 中的(17)退出代码参数;UserDefinedFieldConfigServlet 中的(18)udfName,(19)displayName,(20)udfDescription,(21)udfDataValue,(22)udfSectionName或(23)udfId参数;XiotechMonitorServlet 中的(24)排序字段或(25)排序方向参数;BexDriveUsageSummaryServlet 中的(26)排序字段或(27)排序方向参数;脚本Servlet 中的(28)状态参数;FileActionAssignmentServlet 中的(29)已分配的名称参数;XiotechMonitorServlet 中的(30)winEventSource参数;或(31)名称,(32)ipOne,(33)ipTwo或(34)ipThree参数。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Multiple SQL injection vulnerabilities in the Web Services web server in SolarWinds Storage Resource Monitor (SRM) Profiler (formerly Storage Manager (STM)) before 6.2.3 allow remote attackers to execute arbitrary SQL commands via the (1) ScriptSchedule parameter in the ScriptServlet servlet; the (2) winEventId or (3) winEventLog parameter in the WindowsEventLogsServlet servlet; the (4) processOS parameter in the ProcessesServlet servlet; the (5) group, (6) groupName, or (7) clientName parameter in the BackupExceptionsServlet servlet; the (8) valDB or (9) valFS parameter in the BackupAssociationServlet servlet; the (10) orderBy or (11) orderDir parameter in the HostStorageServlet servlet; the (12) fileName, (13) sortField, or (14) sortDirection parameter in the DuplicateFilesServlet servlet; the (15) orderFld or (16) orderDir parameter in the QuantumMonitorServlet servlet; the (17) exitCode parameter in the NbuErrorMessageServlet servlet; the (18) udfName, (19) displayName, (20) udfDescription, (21) udfDataValue, (22) udfSectionName, or (23) udfId parameter in the UserDefinedFieldConfigServlet servlet; the (24) sortField or (25) sortDirection parameter in the XiotechMonitorServlet servlet; the (26) sortField or (27) sortDirection parameter in the BexDriveUsageSummaryServlet servlet; the (28) state parameter in the ScriptServlet servlet; the (29) assignedNames parameter in the FileActionAssignmentServlet servlet; the (30) winEventSource parameter in the WindowsEventLogsServlet servlet; or the (31) name, (32) ipOne, (33) ipTwo, or (34) ipThree parameter in the XiotechMonitorServlet servlet.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
SolarWinds Storage Resource Monitor Profiler SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SolarWinds Storage Resource Monitor(SRM)Profiler(前称Storage Manager,STM)是美国SolarWinds公司的一套基于Web且整合了存储监控、报表、报警和预测分析等功能的数据存储管理软件。 SolarWinds SRM Profiler 6.2.3之前版本的Web Services网络服务器中存在SQL注入漏洞。远程攻击者可借助多个参数(ScriptServlet servlet中的‘ScriptSchedule’参数,WindowsEven
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2016-4350 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2016-4350 的情报信息