検出

Debian DSA-5399-1: odoo - セキュリティの更新

high Nessus プラグイン ID 175152

Language:

概要

リモートの Debian ホストに 1 つまたは複数のセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 11 ホストには、dsa-5399 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - Odoo Community 15.0 以前、および Odoo Enterprise 15.0 以前のサンドボックス問題により、認証された管理者がサーバー上のローカルファイルを読み書きする可能性があります。(CVE-2021-23166)

 - Odoo Community 15.0 以前および Odoo Enterprise 15.0 以前の l10n_fr_fec モジュールのレポートエンジンにおける不適切なアクセスコントロールにより、リモートの認証されたユーザーが、細工された RPC パケットを介して、アカウンティング情報を抽出する可能性があります。(CVE-2021-23176)

 - Odoo Community 15.0 以前および Odoo Enterprise 15.0 以前の不適切なアクセスコントロールにより、攻撃者が別のユーザーに属するトークン化された支払い方法でオンライン決済を検証し、代わりに被害者の支払い方法で請求が行われる可能性があります。(CVE-2021-23178)

 - Odoo Community 15.0 以前、および Odoo Enterprise 15.0 以前のマルチテナントシステムにおいて、サンドボックスの問題があるため、認証された管理者が他のテナントのデータベースコンテンツにアクセスして変更することが可能です。(CVE-2021-23186)

 - Odoo Community 14.0 から 15.0 までのレポートエンジン、および Odoo Enterprise 14.0 から 15.0 までのレポートエンジンの不適切なアクセスコントロールにより、リモートの攻撃者が、細工されたリクエストを介して、任意のドキュメントの PDF レポートをダウンロードする可能性があります。(CVE-2021-23203)

 - Odoo Community 14.0 から 15.0 まで、および Odoo Enterprise 14.0 から 15.0 までの Discuss アプリのクロスサイトスクリプティング (XSS) の問題により、リモートの攻撃者が、細工されたコンテンツを投稿することで、被害者のブラウザーに任意の Web スクリプトを挿入する可能性があります。(CVE-2021-26263)

 - Odoo Community 15.0 以前、および Odoo Enterprise 15.0 以前のクロスサイトスクリプティング (XSS) の問題により、リモートの攻撃者が、細工されたリンクを介して、被害者のブラウザーに任意の Web スクリプトを挿入する可能性があります。
 (CVE-2021-26947)

 - Odoo Community 15.0 以前、および Odoo Enterprise 15.0 以前のサンドボックス問題により、認証された管理者が機密の設定ファイルを含むサーバー上のローカルファイルを読み取る可能性があります。
 (CVE-2021-44476)

 - Odoo Community 15.0 以前、および Odoo Enterprise 15.0 以前の Web サイトアプリにクロスサイトスクリプティング (XSS) の問題があるため、リモートの攻撃者は細工されたコンテンツを投稿することで、被害者のブラウザーに任意の Web スクリプトを挿入する可能性があります。(CVE-2021-44775)

 - Odoo Community 15.0 以前、および Odoo Enterprise 15.0 以前のクロスサイトスクリプティング (XSS) の問題により、リモートの攻撃者が細工されたアップロードファイル名を介して、被害者のブラウザーに任意の Web スクリプトを挿入する可能性があります。(CVE-2021-45071)

 - Odoo Community 15.0 以前、および Odoo Enterprise 15.0 以前の不適切なアクセスコントロールにより、リモートの認証されたユーザーが、既知の認証情報を持つユーザーアカウントを含む、デモンストレーションデータの作成を誘発させる可能性があります。(CVE-2021-45111)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

odoo パッケージをアップグレードしてください。

安定版 (stable) ディストリビューション (bullseye) では、これらの問題はバージョン 14.0.0+dfsg.2-7+deb11u1 で修正されています。

参考資料

https://security-tracker.debian.org/tracker/source-package/odoo

https://www.debian.org/security/2023/dsa-5399

https://security-tracker.debian.org/tracker/CVE-2021-23166

https://security-tracker.debian.org/tracker/CVE-2021-23176

https://security-tracker.debian.org/tracker/CVE-2021-23178

https://security-tracker.debian.org/tracker/CVE-2021-23186

https://security-tracker.debian.org/tracker/CVE-2021-23203

https://security-tracker.debian.org/tracker/CVE-2021-26263

https://security-tracker.debian.org/tracker/CVE-2021-26947

https://security-tracker.debian.org/tracker/CVE-2021-44476

https://security-tracker.debian.org/tracker/CVE-2021-44775

https://security-tracker.debian.org/tracker/CVE-2021-45071

https://security-tracker.debian.org/tracker/CVE-2021-45111

https://packages.debian.org/source/bullseye/odoo

プラグインの詳細

深刻度: High

ID: 175152

ファイル名: debian_DSA-5399.nasl

バージョン: 1.0

タイプ: local

エージェント: unix

公開日: 2023/5/5

更新日: 2023/5/5

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.3

CVSS v2

リスクファクター: High

基本値: 8.5

現状値: 6.3

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N

CVSS スコアのソース: CVE-2021-45111

CVSS v3

リスクファクター: High

基本値: 8.7

現状値: 7.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2021-23186

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:odoo-14, cpe:/o:debian:debian_linux:11.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/5/5

脆弱性公開日: 2023/4/25

参照情報

CVE: CVE-2021-23166, CVE-2021-23176, CVE-2021-23178, CVE-2021-23186, CVE-2021-23203, CVE-2021-26263, CVE-2021-26947, CVE-2021-44476, CVE-2021-44775, CVE-2021-45071, CVE-2021-45111