SAP BusinessObjects Business Intelligence Platform (Central Management Console および BI Launchpad) の安全でない逆シリアル化
high Nessus プラグイン ID 168363
Language:
概要
リモートの Windows ホストにインストールされている SAP BusinessObjects Business Intelligence Platform は、安全でない逆シリアル化の脆弱性の影響を受けます。説明
リモートの Windows ホストにインストールされている SAP BusinessObjects Business Intelligence Platform のバージョンは、4.2 SP9 P11、4.3 SP2 P7 または 4.3 SP3 より前です。このため、安全でない逆シリアル化の脆弱性の影響を受けます。SAP BusinessObjects BI Platform (Central Management Console および BI LaunchPad) の一部のワークフローで、権限の低い認証された攻撃者が、パラメーターのシリアル化されたオブジェクトを傍受し、悪意のあるシリアル化されたオブジェクトに置き換えることで、信頼できないデータの逆シリアル化につながる脆弱性があります。これにより、システムの機密性、整合性、可用性を大きく損なう可能性があります。Nessus はこれらの問題を悪用したことはありませんが、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っています。
ソリューション
ベンダーのアドバイザリを参照してください。参考資料
プラグインの詳細
深刻度: High
ID: 168363
ファイル名: sap_business_objects_bip_nov_22_3243924.nasl
バージョン: 1.3
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2022/12/2
更新日: 2023/1/13
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 9
現状値: 6.7
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS スコアのソース: CVE-2022-41203
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:sap:businessobjects_business_intelligence_platform
必要な KB アイテム: installed_sw/SAP BusinessObjects Business Intelligence Platform, SMB/Registry/Enumerated
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2022/11/8
脆弱性公開日: 2022/11/8
参照情報
CVE: CVE-2022-41203
IAVA: 2023-A-0018