ManageEngine OpManager Plus < 12.7.109 / 12.7.110 < 12.7.120 / 12.7.121 < 12.7.131 クロスサイト WebSocket のハイジャック
high Nessus プラグイン ID 179655
Language:
概要
リモートホストで実行中の Active Directory 管理アプリケーションは、認証済み XML 外部エンティティインジェクションの脆弱性の影響を受けます。説明
リモート Web サーバーで実行されている ManageEngine OpManager のバージョンは 12.7.109 より前、もしくはバージョン 12.7.120 より前の 12.7.110、もしくはバージョン 12.7.131 より前の 12.7.121 です。したがって、WebSocket エンドポイントに脆弱性があり、クロスサイト WebSocket をハイジャックする可能性があります。Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
ベンダーのアドバイザリに従って、ManageEngine OpManager をアップグレードしてください。参考資料
http://www.nessus.org/u?980f64b4
プラグインの詳細
深刻度: High
ID: 179655
ファイル名: manageengine_opmanager_CVE-2023-29505.nasl
バージョン: 1.5
タイプ: remote
ファミリー: CGI abuses
公開日: 2023/8/10
更新日: 2024/6/28
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2023-29505
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:zohocorp:manageengine_opmanager
必要な KB アイテム: installed_sw/ManageEngine OpManager
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2023/6/18
脆弱性公開日: 2023/8/3
参照情報
CVE: CVE-2023-29505
IAVA: 2023-A-0395-S