検出

Simple Machines Forum Avatarの情報漏洩の脆弱性

low Nessus プラグイン ID 19550

Language:

概要

リモートWebサーバーは、情報の漏洩を許可するPHPアプリケーションが含まれています。

説明

リモートホストは、PHPで書かれたオープンソースWebフォーラムアプリケーションのSimple Machines Forum(SMF)を実行しています。

リモートホストにインストールされているバージョンのSMFは、ユーザーアバターに指定されたURIを適切にサニタイズしません。影響を受けるアプリケーションに登録されている攻撃者がこの欠陥を悪用して、フォーラムユーザーがフォーラムの使用情報の収集やユーザーのシステムに対する攻撃など、悪意のあるアバターにアクセスするたびに、スクリプトを実行する可能性があります。

ソリューション

現時点では不明です。

参考資料

http://retrogod.altervista.org/smf105.html

https://seclists.org/bugtraq/2005/Aug/438

プラグインの詳細

深刻度: Low

ID: 19550

ファイル名: smf_avatar_code_injection.nasl

バージョン: 1.19

タイプ: remote

ファミリー: CGI abuses

公開日: 2005/8/31

更新日: 2022/6/1

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.2

CVSS v2

リスクファクター: Low

基本値: 3.5

ベクトル: CVSS2#AV:N/AC:M/Au:S/C:P/I:N/A:N

脆弱性情報

必要な KB アイテム: www/PHP

除外される KB アイテム: Settings/disable_cgi_scanning

脆弱性公開日: 2005/8/31

参照情報

CVE: CVE-2005-2817

BID: 14706