VULHUB ™

Symantec IM Manager 提供了完整、先进的IM安全管理解决方案，让组织可以在企业间安全地部署、管理与延伸IM的使用。 Symantec IM Manager 8.4.16之前版本中的IIS扩展中的管理界面存在多个SQL注入漏洞。远程攻击者可以借助(1)向rdpageimlogic.aspx文件传递的rdReport 参数，该参数与rdServer.dll文件中的sGetDefinition函数，以及在某个报告文件中所包含的声明有关；(2)向rdpageimlogic.aspx传递的DetailReportGroup(又名DetailReportGroup.lgx)操作中的未明参数；向rdpageimlogic.aspx传递的SummaryReportGroup(又名SummaryReportGroup.lgx)操作中的(3)selclause，(4)whereTrendTimeClause，(5)TrendTypeForReport，(6)whereProtocolClause，或者(7)groupClause参数；向(a)rdpageimlogic.aspx或者(b)rdPage.aspx传递的LoggedInUsers(又名LoggedInUSers.lgx)操作中的(8)loginTimeStamp，(9)dbo，(10)dateDiffParam，或者(11)whereClause参数；向rdpa! geimlogic.aspx传递的(12)selclause，(13)whereTrendTimeClause，(14)TrendTypeForReport，(15)whereProtocolClause，或者(16)groupClause参数；(17)向IMAdminReportTrendFormRun.asp文件传递的groupList参数；或者(18)向IMAdminScheduleReport.asp文件传递的email参数执行任意SQL命令。

Symantec IM Manager 提供了完整、先进的IM安全管理解决方案，让组织可以在企业间安全地部署、管理与延伸IM的使用。 Symantec IM Manager 8.4.16之前版本中的IIS扩展中的管理界面存在多个SQL注入漏洞。远程攻击者可以借助(1)向rdpageimlogic.aspx文件传递的rdReport 参数，该参数与rdServer.dll文件中的sGetDefinition函数，以及在某个报告文件中所包含的声明有关；(2)向rdpageimlogic.aspx传递的DetailReportGroup(又名DetailReportGroup.lgx)操作中的未明参数；向rdpageimlogic.aspx传递的SummaryReportGroup(又名SummaryReportGroup.lgx)操作中的(3)selclause，(4)whereTrendTimeClause，(5)TrendTypeForReport，(6)whereProtocolClause，或者(7)groupClause参数；向(a)rdpageimlogic.aspx或者(b)rdPage.aspx传递的LoggedInUsers(又名LoggedInUSers.lgx)操作中的(8)loginTimeStamp，(9)dbo，(10)dateDiffParam，或者(11)whereClause参数；向rdpa! geimlogic.aspx传递的(12)selclause，(13)whereTrendTimeClause，(14)TrendTypeForReport，(15)whereProtocolClause，或者(16)groupClause参数；(17)向IMAdminReportTrendFormRun.asp文件传递的groupList参数；或者(18)向IMAdminScheduleReport.asp文件传递的email参数执行任意SQL命令。