検出

Dell Wyse Management Suite < 3.8の複数の脆弱性 (DSA-2022-134)

high Nessus プラグイン ID 163271

Language:

概要

ローカルホストにインストールされている Dell Wyse Management Suite は、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Dell Wyse Management Suite のバージョンは、3.8より前です。したがって、DSA-2022-134 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Wyse Management Suite 3.7以前には、機密データ漏洩の脆弱性が含まれています。権限の弱い悪意のあるユーザーがこの脆弱性を悪用して、認証情報を取得する可能性があります。攻撃者が公開された認証情報を使用して、ターゲットデバイスにアクセスし、認証されていないアクションを実行する可能性があります。
 (CVE-2022-29090)

 - Wyse Management Suite 3.7以前には、不適切なアクセスコントロールの脆弱性が含まれており、ルールを作るアクセス権のない攻撃者が、この脆弱性を悪用してルールを作成する可能性があります。攻撃者はルールを実行するスケジュールを作成する可能性があります。(CVE-2022-33924)

 - Wyse Management Suite 3.7以前には、UI に不適切なアクセスコントロールの脆弱性が含まれています。認証されたリモート攻撃者が、この脆弱性を悪用し、機密情報を含むレポートをダウンロードするためにアクセスコントロールをバイパスする可能性があります。(CVE-2022-33925)

 - Wyse Management Suite 3.7以前には、不適切なアクセスコントロールの脆弱性が含まれています。リモートの悪意のあるユーザーがこの脆弱性を悪用して、ファイルリポジトリが取り消された後にアクセスを保持する可能性があります。(CVE-2022-33926)

 - Wyse Management Suite 3.7以前には、セッション固定の脆弱性が含まれています。認証されていない攻撃者がこれを悪用し、複数のアクティブなセッションを持つユーザーを利用してユーザーのセッションをハイジャックする可能性があります。(CVE-2022-33927)

 - Wyse Management Suite 3.7以前には、UI に平文パスワードの保存の脆弱性があります。権限の弱い攻撃者がこの脆弱性を悪用して、特定のユーザーの認証情報を漏洩させる可能性があります。攻撃者は公開された認証情報を使用して、侵害されたアカウントの権限で脆弱なアプリケーションにアクセスできる可能性があります。(CVE-2022-33928)

 - Wyse Management Suite 3.7以前には、EndUserSummary ページに折り返し型クロスサイトスクリプティングの脆弱性があります。認証された攻撃者がこの脆弱性を悪用して、脆弱なウェブアプリケーションのコンテキストにおいて、被害者のユーザーのウェブブラウザで悪意のある HTML または JavaScript コードを実行する可能性があります。悪用により、情報漏洩、セッションの盗難、クライアント側のリクエスト偽造が発生する可能性があります。(CVE-2022-33929)

 - Wyse Management Suite 3.7以前では、デバイスのエラーページの情報漏洩が含まれています。攻撃者がこの脆弱性を悪用して、特定機密情報を漏洩させる可能性があります。
 攻撃者は漏洩した情報を利用して、アクセスやさらなる脆弱性のリサーチを行う可能性があります。
 (CVE-2022-33930)

 - Wyse Management Suite 3.7以前には、UI に不適切なアクセスコントロールの脆弱性が含まれています。Alert Classification ページにアクセスできない攻撃者がこの脆弱性を悪用して、アラートカテゴリを変更する可能性があります。(CVE-2022-33931)

 - Wyse Management Suite 3.7には、Device API のパストラバーサルの脆弱性が含まれています。攻撃者はこの脆弱性を悪用して、実行中のウェブアプリケーションの権限で、サーバーファイルシステムに保存されているファイルに対して、認証されずに読み取りアクセス権を取得する可能性があります。(CVE-2022-34365)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Dell Wyse Management Suite バージョン 3.8以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?7f6cc9f8

プラグインの詳細

深刻度: High

ID: 163271

ファイル名: dell_wyse_management_suite_dsa-2022-134_3_8.nasl

バージョン: 1.5

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2022/7/19

更新日: 2022/12/8

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 9

現状値: 6.7

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2022-33928

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:dell:wyse_management_suite

必要な KB アイテム: installed_sw/Dell Wyse Management Suite

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/7/18

脆弱性公開日: 2022/7/18

参照情報

CVE: CVE-2022-29090, CVE-2022-33924, CVE-2022-33925, CVE-2022-33926, CVE-2022-33927, CVE-2022-33928, CVE-2022-33929, CVE-2022-33930, CVE-2022-33931, CVE-2022-34365