redis 安全漏洞 (CVE-2021-3262)

CVE编号

CVE-2021-3262

利用情况

暂无

补丁情况

N/A

披露时间

2023-08-30
漏洞描述
TripSpark VEO Transportation-2.2.x-XP_BB-20201123-184084 NovusEDU-2.2.x-XP_BB-20201123-184084 allows unsafe data inputs in POST body parameters from end users without sanitizing using server-side logic. It was possible to inject custom SQL commands into the "Student Busing Information" search queries.
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://tripspark.com
http://veo.com
https://susos.co/blog/f/cve-disclosureuncovered-sql-injection-in-tripspark-ve...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 trispark novusedu 2.2.x-xp_bb-20201123-184084 -
运行在以下环境
应用 trispark veo_transportation 2.2.x-xp_bb-20201123-184084os -
运行在以下环境
系统 amazon_2 redis * Up to
(excluding)
6.2.4-1.amzn2
运行在以下环境
系统 fedora_33 redis * Up to
(excluding)
6.0.16-1.fc33
运行在以下环境
系统 fedora_34 redis * Up to
(excluding)
6.2.4-1.fc34
运行在以下环境
系统 fedora_35 redis * Up to
(excluding)
6.2.6-1.fc35
运行在以下环境
系统 kylinos_aarch64_V10 redis * Up to
(excluding)
4.0.11-16.p02.ky10
运行在以下环境
系统 kylinos_aarch64_V10SP1 redis * Up to
(excluding)
4.0.11-16.p02.ky10
运行在以下环境
系统 kylinos_aarch64_V10SP2 redis * Up to
(excluding)
4.0.11-16.p02.ky10
运行在以下环境
系统 kylinos_aarch64_V10SP3 redis * Up to
(excluding)
4.0.11-16.p02.ky10
运行在以下环境
系统 kylinos_loongarch64_V10SP1 redis * Up to
(excluding)
4.0.11-16.p03.a.ky10
运行在以下环境
系统 kylinos_loongarch64_V10SP3 redis * Up to
(excluding)
4.0.11-16.p03.a.ky10
运行在以下环境
系统 kylinos_x86_64_V10 redis * Up to
(excluding)
4.0.11-16.p02.ky10
运行在以下环境
系统 kylinos_x86_64_V10SP1 redis * Up to
(excluding)
4.0.11-16.p02.ky10
运行在以下环境
系统 kylinos_x86_64_V10SP2 redis * Up to
(excluding)
4.0.11-16.p02.ky10
运行在以下环境
系统 kylinos_x86_64_V10SP3 redis * Up to
(excluding)
4.0.11-16.p02.ky10
运行在以下环境
系统 opensuse_Leap_15.3 redis * Up to
(excluding)
6.0.14-6.8.1
CVSS3评分
9.8
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-ID 漏洞类型
CWE-89 SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
阿里云安全产品覆盖情况