リモートの Windows ホストにインストールされている Qlik Sense Enterprise のバージョンは、2022 年 8 月パッチ 14 より前、2022 年 11 月のパッチ 11 より前、2023 年 2 月のパッチ 8 より前、または 2023 年 5 月パッチ 4 より前です。したがって、複数の脆弱性の影響を受けます。

 - HTTP ヘッダーの不適切な検証による HTTP トンネリングの脆弱性。リモートの攻撃者は、HTTP リクエストをトンネリングすることで自分の権限を昇格させることができ、リポジトリアプリケーションをホストしているバックエンドサーバーで HTTP リクエストを実行できます。(CVE-2023-41265)

 - ユーザー指定の入力を不適切に検証していることに起因する、パストラバーサルの脆弱性。認証されていないリモートの攻撃者が匿名のセッションを生成し、認証されていないエンドポイントに対して HTTP リクエストを実行する可能性があります。(CVE-2023-41266)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Qlik Sense Enterprise の複数の脆弱性

critical Nessus プラグイン ID 186699

バージョン 1.5