openstack-ironic-inspector SQL注入漏洞

openstack-ironic-inspector SQL注入漏洞

openstack-ironic-inspector是一款硬件检测守护程序。该程序主要用于检测由OpenStack Ironic管理的节点的硬件属性。

一、漏洞分析

公开日期：2019-08-07

漏洞编号：CNVD-2019-26257

危害等级：高危

漏洞描述：openstack-ironic-inspector中的‘node_cache.find_node()’函数存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。

二、漏洞影响范围

       openstack-ironic-inspector openstack-ironic-inspector

三、漏洞处置建议

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://review.opendev.org/#/c/660234/