ManageEngine ServiceDesk Plus < 14.1 ビルド 14105 XXE

medium Nessus プラグイン ID 175101

概要

リモートの Web サーバーは、XML 外部エンティティの脆弱性の影響を受けるアプリケーションをホストしています。

説明

ManageEngine ServiceDesk Plus 14.1 ビルド 14105 より前に XML 外部エンティティの脆弱性が存在します。SDAdmin ロールを持つ脅威アクターは、悪意のあるサーバーを構成し、Reports 統合 API を使用して無効な形式の XML で応答を返す可能性があります。これにより、XML 外部エンティティ (XXE) 攻撃が引き起こされます。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

ManageEngine ServiceDesk Plus バージョン 14.1ビルド 14105 またはそれ以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?fefbe388

http://www.nessus.org/u?6e6badee

プラグインの詳細

深刻度: Medium

ID: 175101

ファイル名: manageengine_servicedesk_14105.nasl

バージョン: 1.6

タイプ: remote

ファミリー: CGI abuses

公開日: 2023/5/4

更新日: 2023/5/13

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

Base Score: 6.1

Temporal Score: 4.5

ベクトル: CVSS2#AV:N/AC:L/Au:M/C:C/I:N/A:N

CVSS スコアのソース: CVE-2023-29443

CVSS v3

リスクファクター: Medium

Base Score: 4.9

Temporal Score: 4.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:zohocorp:manageengine_servicedesk_plus

必要な KB アイテム: installed_sw/manageengine_servicedesk

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/2/20

脆弱性公開日: 2023/4/26

参照情報

CVE: CVE-2023-29443

IAVA: 2023-A-0229-S