検出

Microsoft Dynamics 365(オンプレミス)8.x < 8.2.3.0008の複数の脆弱性

high Nessus プラグイン ID 123752

Language:

概要

リモート Windows ホストに、複数の脆弱性の影響を受けるアプリケーションがインストールされています。

説明

リモートのWindowsホストにインストールされているMicrosoft Dynamics 365(オンプレミス)のバージョンは、8.2.3.0008より前の8.xです。そのため、以下の複数の脆弱性の影響を受けます。

 - An elevation of privilege vulnerability exists due to an affected server not sanitizing the user input properly. An authenticated, remote attacker can exploit this, via sending a specially crafted request, to gain elevated privileges. (CVE-2018-8654)

 - ユーザー指定の入力をユーザーに返す前に不適切に検証しているため、クロスサイトスクリプティング (XSS ) の脆弱性があります。
 認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたURLをクリックするようユーザーを誘導して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。
 (CVE-2018-8605, CVE-2018-8606, CVE-2018-8607, CVE-2018-8608)

 - A remote code execution vulnerability exists due to the server failing to properly sanitize web requests to an affected Dynamics server. An authenticated, remote attacker can exploit this to execute arbitrary code in the context of the SQL service account. (CVE-2018-8609)

ソリューション

Microsoft Dynamics 365(オンプレミス)8.2.3.0008以降に更新してください。

参考資料

http://www.nessus.org/u?0942482d

http://www.nessus.org/u?c67ead0e

http://www.nessus.org/u?27e57acb

http://www.nessus.org/u?e47f6476

http://www.nessus.org/u?e136c2fd

http://www.nessus.org/u?90941a01

http://www.nessus.org/u?ec939667

http://www.nessus.org/u?cb5a1d50

プラグインの詳細

深刻度: High

ID: 123752

ファイル名: microsoft_dynamics_4467675.nasl

バージョン: 1.4

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2019/4/4

更新日: 2019/10/30

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.5

現状値: 4.8

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS スコアのソース: CVE-2018-8609

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: x-cpe:/a:microsoft:dynamics_365

必要な KB アイテム: installed_sw/Microsoft Dynamics 365 Server

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/11/13

脆弱性公開日: 2018/11/13

参照情報

CVE: CVE-2018-8605, CVE-2018-8606, CVE-2018-8607, CVE-2018-8608, CVE-2018-8609, CVE-2018-8654

BID: 107014, 105889, 105890, 105891, 105892, 105894

MSFT: MS19-4467675

MSKB: 4467675