Slack < 4.4.0リモートコード実行 (廃止)

critical Nessus プラグイン ID 140214

概要

このプラグインは廃止されました。

説明

このプラグインは、サーバー側の修正により廃止されました。

リモートホストにインストールされているSlack Desktopのバージョンは、4.4.0より前です。したがって、リモートコード実行の脆弱性の影響を受けます。アプリ内リダイレクト (ロジック/オープンリダイレクト) 、HTMLまたはjavascriptインジェクションにより、Slackデスクトップアプリ内で任意のコードが実行される可能性があります。

Nessusはこれらの問題のテストを行っておらず、代わりにアプリケーションの報告されたバージョン番号にのみ依存しています。

参考資料

http://www.nessus.org/u?1005734a

https://hackerone.com/reports/783877

https://slack.engineering/the-app-sandbox/

プラグインの詳細

深刻度: Critical

ID: 140214

ファイル名: slack_4_4_0.nasl

バージョン: 1.4

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2020/9/4

更新日: 2022/1/20

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

CVSS スコアの根本的理由: Score based on a remote code execution vulnerability.

CVSS v2

リスクファクター: Critical

基本値: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: manual

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: x-cpe:/a:slack:slack

パッチ公開日: 2020/3/18

脆弱性公開日: 2020/8/28

参照情報

IAVB: 2020-B-0058-S