发布日期：2021-06-17
更新日期：2021-07-23

受影响系统：

Octopus Deploy Octopus Server < 2021.1.7316
Octopus Deploy Octopus Server < 2020.6.5146
Octopus Deploy Octopus Server 2020.5.x
Octopus Deploy Octopus Server 2020.4.x
Octopus Deploy Octopus Server 2020.3.x
Octopus Deploy Octopus Server 2020.2.x
Octopus Deploy Octopus Server 2020.1.x
Octopus Deploy Octopus Server 2019.x.x
Octopus Deploy Octopus Server 2018.9.17
Octopus Deploy Octopus Server 2018.12.x
Octopus Deploy Octopus Server 2018.11.x
Octopus Deploy Octopus Server 2018.10.x

描述：

---

CVE(CAN) ID: CVE-2021-31818

Octopus Deploy是澳大利亚Octopus Deploy公司的一款用于.NET、Java等应用程序开发部署的自动化工具。
Octopus Server的Events REST API存在SQL注入漏洞，该漏洞源于程序未对用户在Events REST API请求中提供的数据进行正确参数化。经过身份认证的攻击者可利用该漏洞对数据库表进行访问。

<*链接：https://advisories.octopus.com/adv/2021-04---SQL-Injection-in-the-Events-REST-API-(CVE-2021-31818).2
*>

建议：

---

厂商补丁：

Openwsman
---------
Openwsman已经为此发布了一个安全公告（CVE-2021-31818）以及相应补丁:
CVE-2021-31818：2021-04 - SQL Injection in the Events REST API (CVE-2021-31818)
链接：https://advisories.octopus.com/adv/2021-04---SQL-Injection-in-the-Events-REST-API-(CVE-2021-31818).2

浏览次数：770
严重程度：0（网友投票）