SAP BusinessObjects Business Intelligence Platform の複数の脆弱性

high Nessus プラグイン ID 175670

概要

リモートの Windows ホストにインストールされている SAP business intelligence 製品は、複数の脆弱性の影響を受けます。

説明

リモートの Windows ホストにインストールされている SAP BusinessObjects Business Intelligence Platform のバージョンは、複数の脆弱性の影響を受けます。
- SAP BusinessObjects Business Intelligence Platform - バージョン 420、430 では、管理者権限を持つ認証された攻撃者が、ユーザーの操作なしで、ネットワークにログインしている BI ユーザーのログイントークンを取得する可能性があります。攻撃者は、プラットフォーム上の任意のユーザーになりすまして、データのアクセスや変更を引き起こす可能性があります。攻撃者が、システムを部分的または完全に利用できなくする可能性もあります。(CVE-2023-28762)

- SAP BusinessObjects Business Intelligence platform、Client Management Console (CMC) - バージョン 430 は、特定の状況下で、攻撃者が本来なら制限される情報にアクセスし、情報漏洩につながる可能性があります。(CVE-2023-30740)

- SAP BusinessObjects Business Intelligence Platform - バージョン 420、430 では、入力検証が不十分なため、認証されていない攻撃者が悪意のあるリンクを使用して、ユーザーを信頼できないサイトにリダイレクトする可能性があります。悪用に成功すると、攻撃者は情報を表示または変更して、アプリケーションの機密性と整合性に限定的な影響を与える可能性があります。(CVE-2023-30741)

Nessus はこれらの問題を検証しておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

ベンダーのアドバイザリを参照してください。

参考資料

http://www.nessus.org/u?18f404d5

https://launchpad.support.sap.com/#/notes/3307833

https://launchpad.support.sap.com/#/notes/3313484

https://launchpad.support.sap.com/#/notes/3309935

プラグインの詳細

深刻度: High

ID: 175670

ファイル名: sap_business_objects_bip_may_23_3307833.nasl

バージョン: 1.2

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2023/5/15

更新日: 2023/5/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 8.3

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:M/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-28762

CVSS v3

リスクファクター: High

基本値: 7.6

現状値: 6.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2023-30740

脆弱性情報

CPE: cpe:/a:sap:businessobjects_business_intelligence_platform

必要な KB アイテム: SMB/Registry/Enumerated, installed_sw/SAP BusinessObjects Business Intelligence Platform

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/5/8

脆弱性公開日: 2023/5/8

参照情報

CVE: CVE-2023-28762, CVE-2023-30740, CVE-2023-30741

IAVA: 2023-A-0241