一、 漏洞 CVE-2017-17659 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
这个漏洞允许远程攻击者在 vulnerable 的 Quest NetVault Backup 11.3.0.12 上执行任意代码。无需身份验证即可利用此漏洞。这个特定漏洞存在于处理 NVBUJobHistory Get method requests 的过程中。问题源于在用于构建 SQL 查询之前对用户提供的字符串缺乏适当的验证。攻击者可以利用此漏洞在底层数据库上下文中执行代码。此漏洞的利用代码为 ZDI-CAN-4906。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
This vulnerability allows remote attackers to execute arbitrary code on vulnerable installations of Quest NetVault Backup 11.3.0.12. Authentication is not required to exploit this vulnerability. The specific flaw exists within the handling of NVBUJobHistory Get method requests. The issue results from the lack of proper validation of a user-supplied string before using it to construct SQL queries. An attacker can leverage this vulnerability to execute code in the context of the underlying database. Was ZDI-CAN-4906.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Quest NetVault Backup SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Quest NetVault Backup是美国Quest Software公司的一套数据备份软件。 Quest NetVault Backup 11.4.5之前版本中的NVBUJobHistory Get方法请求的处理存在SQL注入漏洞,该漏洞源于程序在使用SQL查询语句之前,没有正确的检测用户提交的字符串。远程攻击者可利用该漏洞在底层数据库的上下文中执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2017-17659 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2017-17659 的情报信息