Check_MK 1.2.4 < 1.2.4p4/1.2.5 < 1.2.5i4の複数の脆弱性
high Nessus プラグイン ID 101087
Language:
概要
リモートホストで実行されているIT監視アプリケーションは、複数の脆弱性の影響を受けます。説明
リモートのWebサーバーで実行されているCheck_MKのバージョンは1.2.4p4より前の1.2.4、または1.2.5i4より前の1.2.5です。したがって、以下の複数の脆弱性による影響を受けます。- ユーザー指定の入力がユーザーに返される前に不適切に検証されているため、複数のクロスサイトスクリプト(XSS)の脆弱性が、マルチサイトコンポーネント、特にファイルhtmllib.pyのrender_status_icons()関数およびファイルactions.pyのajax_action()関数にあります。認証されていないリモートの攻撃者がこれらを悪用し、特別に細工されたリクエストを介して、ユーザーのブラウザーセッションで任意のスクリプトコードを実行する可能性があります。(CVE-2014-5338)
- 行選択に関連する欠陥があり、認証されたリモートの攻撃者がCheck_MK設定(.mk)ファイルを任意の場所に書き込む可能性があります。
(CVE-2014-5339)
- 安全でないPython pickel API呼び出しが使用されているため、欠陥がwatoコンポーネントにあります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたシリアル化オブジェクトを介して、任意のコードを実行する可能性があります。
(CVE-2014-5340)
ソリューション
Check_MKバージョン1.2.4p4/1.2.5i4以降にアップグレードしてください。参考資料
https://www.securityfocus.com/archive/1/archive/1/533180/100/0/threaded
プラグインの詳細
深刻度: High
ID: 101087
ファイル名: check_mk_1_2_5_i4.nasl
バージョン: 2.5
タイプ: remote
ファミリー: CGI abuses
公開日: 2017/6/28
更新日: 2018/11/28
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 6.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: High
基本値: 8.1
現状値: 7.1
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:check_mk_project:check_mk
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/8/20
脆弱性公開日: 2014/5/27