CVE-2021-3860:人为低权限盲SQL注入

CVE ID	严重程度	发表的日期	日期更新
cve - 2021 - 3860	高	12/15/2021	12/15/2021

JFrog Artifactory在7.25.4之前(仅限企业+订阅)，由于执行SQL查询时验证不完整，容易受到低特权身份验证用户的盲目SQL注入的攻击。

CVSSv3分数:8.8 CVSS: 3.0 / AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:H: H

产品	影响版本	打补丁的版本
Artifactory (7. x)	< 7.25.4	7.24.7、7.23.8 7.21.14、7.19.12 7.18.11,7.17.14,7.12.10 7.11.8
Artifactory (6. x)	< 6.23.30	最新版本6.23.x

此漏洞仅影响企业+订阅的JFrog Artifactory和JFrog edge部署。

此问题要求攻击者具有对JFrog Artifactory的身份验证访问权限。

如果您的环境允许匿名访问，则暴露于漏洞的可能性更高。

受影响的云环境已经使用固定版本进行了加固。对于云实例不需要任何操作。

要解决这个问题，需要采取一些行动．

将您的Artifactory或Edge版本升级到以下列出的版本之一:

您可以通过遵循最佳实践并禁用对JFrog平台的匿名访问来减轻此问题的影响。请查看以下方面的最佳实践禁用匿名访问在JFrog知识库中。

默认情况下，从6.12.0和7.0.0版本开始的新Artifactory和Edge安装禁用匿名访问。

JFrog不知道公开可用的漏洞利用和恶意利用企图。

cwe - 89: SQL命令中使用的特殊元素的不当中和('SQL注入')。

这个问题是由一个JFrog客户发现并报告的。

如果您对此建议有任何疑问或疑虑，请在JFrog支持门户．