发布日期：2014-07-25
更新日期：2014-08-18

受影响系统：

Sabre AirCentre Crew 2010.2.12.20008

描述：

---

BUGTRAQ  ID: 68899
CVE(CAN) ID: CVE-2014-4858

Sabre AirCentre Crew 是一组解决方案，可让航空公司高效地规划和管理机组人员的运营。从规划和投标到排班和配对，Sabre AirCentre Crew 可让航空公司有效规划其机组人员运营，并考虑机组人员培训和资格要求。

AirCentre Crew 2010.2.12.20008及其他版本没有有效过滤CWPLogin.aspx的username及password字段，在实现上存在SQL注入漏洞，远程攻击者可利用此漏洞绕过身份验证并以管理员身份访问系统。

<*来源：Youssef Manar
  
  链接：http://secunia.com/advisories/60532/
*>

建议：

---

厂商补丁：

Sabre
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.sabreairlinesolutions.com/home/software_solutions/product/crew_management/

浏览次数：2875
严重程度：0（网友投票）