検出

SAP BusinessObjects Business Intelligence Platform < 420, 430 の情報漏洩 (3298961)

critical Nessus プラグイン ID 174174

Language:

概要

リモートの Windows ホストにインストールされている SAP BusinessObjects Business Intelligence Platform は、情報漏洩の脆弱性の影響を受けます。

説明

リモートの Windows ホストにインストールされている SAP BusinessObjects Business Intelligence Platform のバージョンは、420、430 より前です。したがって、情報漏洩の脆弱性の影響を受けます。SAP BusinessObjects Business Intelligence Platform (Promotion Management) バージョン 420、430 の基本権限を持つ攻撃者が lcmbiar ファイルにアクセスし、ファイルをさらに復号化できます。この攻撃者が BI ユーザーのパスワードにアクセスできるようになり、BI ユーザーの権限に応じて、アプリケーションを完全に侵害する操作を実行する可能性があります。

Nessus はこれらの問題を悪用したことはありませんが、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っています。

ソリューション

ベンダーのアドバイザリを参照してください。

参考資料

http://www.nessus.org/u?18f404d5

https://launchpad.support.sap.com/#/notes/3298961

プラグインの詳細

深刻度: Critical

ID: 174174

ファイル名: sap_business_objects_bip_cve-2023-28765.nasl

バージョン: 1.3

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2023/4/12

更新日: 2023/4/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-28765

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:sap:businessobjects_business_intelligence_platform

必要な KB アイテム: installed_sw/SAP BusinessObjects Business Intelligence Platform, SMB/Registry/Enumerated

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/4/11

脆弱性公開日: 2023/4/11

参照情報

CVE: CVE-2023-28765

IAVA: 2023-A-0192