ヘルプセンターのLive osTicketモジュールにおける複数の詳細不明なSQLインジェクション

high Nessus プラグイン ID 21306

Language:

概要

リモートWebサーバーに、複数のSQLインジェクション攻撃を受けやすいPHPアプリケーションが含まれています。

説明

リモートホストは、PHPで書かれたオープンソースWebベースヘルプデスクアプリケーションのHelp Center Liveを実行しています。

リモートホストにインストールされているHelp Center Liveのバージョンに、複数のSQLインジェクションの問題の影響を受けるosTicketのバージョンが含まれています。認証されていない攻撃者が、これらの欠陥を利用して、機密情報の漏洩、データの改ざん、認証のバイパス、または基礎となるデータベースに対する攻撃の実行を行う可能性があります。

ソリューション

Help Center Liveバージョン2.1.0以降にアップグレードしてください。

参考資料

http://sourceforge.net/project/shownotes.php?release_id=411859

プラグインの詳細

深刻度: High

ID: 21306

ファイル名: hcl_210.nasl

バージョン: 1.21

タイプ: remote

ファミリー: CGI abuses

公開日: 2006/5/3

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.5

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 6.2

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: cpe:/a:ubertec:help_center_live

必要な KB アイテム: www/PHP

除外される KB アイテム: Settings/disable_cgi_scanning

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

脆弱性公開日: 2006/4/21

参照情報

CVE: CVE-2006-2039

BID: 17676