検出

FreeBSD: element-web -- 認証されたメディアを通じたアクセストークンの漏洩の可能性 (851ce3e4-8b03-11ef-84e9-901b0e9408dc)

high Nessus プラグイン ID 209108

Language:

概要

リモートの FreeBSD ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。

説明

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、851ce3e4-8b03-11ef-84e9-901b0e9408dc のアドバイザリに記載されている脆弱性の影響を受けます。

 Element チームの報告:
 Element Web バージョン 1.11.70 から 1.11.80 には、特別に細工された条件下で、アクセストークンが第三者に露出される可能性のある脆弱性が含まれています。悪意のあるウィジェットを含む、少なくとも 1 つのベクトルが内部で識別されましたが、他のベクトルが存在する可能性があります。この問題を解決するために、ユーザーにはバージョン 1.11.81 にアップグレードすることを強くお勧めします。

Tenable は、前述の記述ブロックを FreeBSD セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?302947c0

http://www.nessus.org/u?66465776

プラグインの詳細

深刻度: High

ID: 209108

ファイル名: freebsd_pkg_851ce3e48b0311ef84e9901b0e9408dc.nasl

バージョン: 1.1

タイプ: local

公開日: 2024/10/16

更新日: 2024/10/16

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2024-47779

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:element-web, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/10/15

脆弱性公開日: 2024/10/15

参照情報

CVE: CVE-2024-47779