検出

Microsoft Dynamics 365 (オンプレミス) 用のセキュリティ更新プログラム (2023 年 7 月)

high Nessus プラグイン ID 178184

Language:

概要

Microsoft Dynamics 365 (オンプレミス) は複数の脆弱性の影響を受けます。

説明

Microsoft Dynamics 365 (オンプレミス) にセキュリティ更新プログラムが適用されていません。そのため、以下の複数の脆弱性の影響を受けます。

 - リモートの攻撃者が、特別に構築された URL を細工する可能性があります。このため、認証されたユーザーがアクセスすると、攻撃者が Cookie を取得したり、ユーザーにダイアログボックスを表示して認証情報を入力したり、そのユーザーを悪意のあるサイトにリダイレクトする可能性があります。(CVE-2023-33171、CVE-2023-35335)

 - 認証されたリモートの攻撃者が、クエリ文字列で同じ変数を複数回発生させることで、不適切な応答を通常の URL にキャッシュさせる可能性があります。影響は、使用するアプリケーションのビジネスロジックに依存します。(CVE-2023-35389)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Microsoft はこの問題を解決するために、以下のセキュリティ更新プログラムをリリースしています。
-KB 5026500
 -KB 5026501

参考資料

https://support.microsoft.com/help/5026500

https://support.microsoft.com/help/5026501

プラグインの詳細

深刻度: High

ID: 178184

ファイル名: smb_nt_ms23_jul_microsoft_dynamics.nasl

バージョン: 1.7

タイプ: local

エージェント: windows

公開日: 2023/7/12

更新日: 2023/11/16

サポートされているセンサー: Frictionless Assessment Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.1

CVSS v2

リスクファクター: High

基本値: 8.5

現状値: 6.3

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:P/A:N

CVSS スコアのソース: CVE-2023-35335

CVSS v3

リスクファクター: High

基本値: 8.2

現状値: 7.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:microsoft:dynamics_365

必要な KB アイテム: installed_sw/Microsoft Dynamics 365 Server

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/6/11

脆弱性公開日: 2023/6/11

参照情報

CVE: CVE-2023-33171, CVE-2023-35335, CVE-2023-35389, CVE-2023-36416

IAVA: 2023-A-0339-S, 2023-A-0407-S, 2023-A-0544-S

MSFT: MS23-5026500, MS23-5026501

MSKB: 5026500, 5026501