当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Sabre AirCentre Crew \'CWPLogin.aspx\'多个SQL注入漏洞

     发表日期:2014-08-14 18:22:00

 

Sabre AirCentre Crew \'CWPLogin.aspx\'多个SQL注入漏洞

BugTraq-ID:68899

CVE-ID:CVE-2014-4858

 

受影响系统:

Sabre AirCentre Crew 2010.2.12.20008

详细信息:

 

Sabre AirCentre Crew 是一组解决方案,可让航空公司高效地规划和管理机组人员的运营。从规划和投标到排班和配对,Sabre AirCentre Crew 可让航空公司有效规划其机组人员运营,并考虑机组人员培训和资格要求。

 

 

 

AirCentre Crew 2010.2.12.20008及其他版本没有有效过滤CWPLogin.aspx的username及password字段,在实现上存在SQL注入漏洞,远程攻击者可利用此漏洞绕过身份验证并以管理员身份访问系统。

 

 

来源:

Youssef Manar

参考信息:

http://secunia.com/advisories/60532/

解决办法:

厂商补丁:

 

Sabre

-----

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

 

 

http://www.sabreairlinesolutions.com/home/software_solutions/product/crew_management/