SAP BusinessObjects Business Intelligence Platform 4.2 < 4.2 SP9 P10 / 4.3 < 4.3 SP2 P6 の複数の脆弱性

high Nessus プラグイン ID 166122

概要

リモートの Windows ホストにインストールされている SAP BusinessObjects Business Intelligence Platform は、複数の脆弱性の影響を受けます。

説明

リモートの Windows ホストにインストールされている SAP BusinessObjects Business Intelligence Platform のバージョンは、4.2 SP9 P10、4.3 SP2 P6 または 4.3 SP3 より前です。そのため、以下の複数の脆弱性の影響を受けます。

- 特定の状況で、認証された攻撃者が OS 認証情報にアクセスできる可能性があります。OS の認証情報にアクセスすると、攻撃者はシステムデータを変更し、システムを利用できなくすることができます。(CVE-2022-39013)

- 認証されていないリモートの攻撃者が、ユーザー入力の不適切なサニタイズにより、スクリプト実行攻撃を実行する可能性があります。(CVE-2022-39800)

- 中央管理コンソールで OLAP 接続が作成されると、認証されていないリモートの攻撃者が、ユーザーがコントロールする入力を送信する可能性があります。(CVE-2022-41206)

Nessus はこれらの問題を悪用したことはありませんが、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っています。

ソリューション

ベンダーのアドバイザリを参照してください。

関連情報

http://www.nessus.org/u?18f404d5

https://launchpad.support.sap.com/#/notes/3229132

https://launchpad.support.sap.com/#/notes/3211161

https://launchpad.support.sap.com/#/notes/3229425

プラグインの詳細

深刻度: High

ID: 166122

ファイル名: sap_business_objects_bip_oct_22_4_3_2_6.nasl

バージョン: 1.4

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2022/10/14

更新日: 2022/12/16

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 4.7

CVSS v2

リスクファクター: High

Base Score: 8

Temporal Score: 5.9

ベクトル: AV:N/AC:L/Au:S/C:C/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2022-39013

CVSS v3

リスクファクター: High

Base Score: 7.6

Temporal Score: 6.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:sap:businessobjects_business_intelligence_platform

必要な KB アイテム: installed_sw/SAP BusinessObjects Business Intelligence Platform, SMB/Registry/Enumerated

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/10/11

脆弱性公開日: 2022/10/11

参照情報

CVE: CVE-2022-39013, CVE-2022-39800, CVE-2022-41206

IAVA: 2022-A-0406, 2022-A-0516