SAP BusinessObjects Business Intelligence Platform のコードインジェクション (3262810)

high Nessus プラグイン ID 170270

概要

リモートの Windows ホストにインストールされている SAP BusinessObjects Business Intelligence Platform は、コードインジェクションの脆弱性の影響を受けます。

説明

リモートの Windows ホストにインストールされている SAP BusinessObjects Business Intelligence Platform のバージョンは、4.2 SP9 P12、4.3 SP2 P9 または 4.3 SP3 より前です。したがって、脆弱性の影響を受けます。認証された攻撃者が、SAP BusinessObjects Business Intelligence Analysis Edition for OLAP を使用して、ネットワーク上のアプリケーションによって実行される可能性がある悪意のあるコードを注入する可能性があります。悪用に成功すると、攻撃者が操作を実行してアプリケーションを完全に侵害し、アプリケーションの機密性、整合性、および可用性に大きな影響を与える可能性があります。

Nessus はこれらの問題を悪用したことはありませんが、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っています。

ソリューション

ベンダーのアドバイザリを参照してください。

参考資料

http://www.nessus.org/u?18f404d5

https://launchpad.support.sap.com/#/notes/3262810

プラグインの詳細

深刻度: High

ID: 170270

ファイル名: sap_business_objects_bip_3262810.nasl

バージョン: 1.1

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2023/1/23

更新日: 2023/1/24

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 9

Temporal Score: 6.7

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-0022

CVSS v3

リスクファクター: High

Base Score: 8.8

Temporal Score: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:sap:businessobjects_business_intelligence_platform

必要な KB アイテム: SMB/Registry/Enumerated, installed_sw/SAP BusinessObjects Business Intelligence Platform

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/1/10

脆弱性公開日: 2023/1/10

参照情報

CVE: CVE-2023-0022

IAVA: 2023-A-0018