ManageEngine ADManager Plus < ビルド 7183 XXE

medium Nessus プラグイン ID 178032

概要

リモートホストで実行中の Active Directory 管理アプリケーションは、認証済み XML 外部エンティティインジェクションの脆弱性の影響を受けます。

説明

バージョン 7.1 ビルド 7183 より前の Zoho ManageEngine ADManager Plus により、認証された管理者が XML 外部エンティティインジェクション (XXE) 攻撃を実行し、サーバーでファイルを表示する可能性があります。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

ManageEngine ADManager Plus バージョン 7.1 ビルド 7183 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?db0c288a

http://www.nessus.org/u?c28db32b

プラグインの詳細

深刻度: Medium

ID: 178032

ファイル名: manageengine_admanager_plus_7183.nasl

バージョン: 1.3

タイプ: remote

ファミリー: CGI abuses

公開日: 2023/7/7

更新日: 2023/8/10

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 6.1

現状値: 4.5

ベクトル: CVSS2#AV:N/AC:L/Au:M/C:C/I:N/A:N

CVSS スコアのソース: CVE-2023-35786

CVSS v3

リスクファクター: Medium

基本値: 4.9

現状値: 4.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:zohocorp:manageengine_admanager_plus

必要な KB アイテム: installed_sw/ManageEngine ADManager Plus

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/3/15

脆弱性公開日: 2023/7/5

参照情報

CVE: CVE-2023-35786

IAVA: 2023-A-0332-S