SAP BusinessObjects Business Intelligence Platform 安全でないファイル操作の脆弱性3565279

high Nessus プラグイン ID 241998

概要

リモートホストにセキュリティ更新がありません。

説明

リモートホストにインストールされている SAP BusinessObjects Business Intelligence Platform のバージョンは、2025 より前の です SP000 000000, 4.3 SP004 001300, または 4.3 SP005 000000 です。したがって、3565279のアドバイザリに記載されている脆弱性の影響を受けます。Apache Struts のファイルアップロードロジックに欠陥があります。攻撃者がファイルアップロードパラメーターを操作してパストラバーサルを有効にし、特定の状況下ではこれがリモートコード実行に利用できる悪意あるファイルのアップロードにつながる可能性があります。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

SAP BusinessObjects Business Intelligence Platformバージョン2025 SP000 000000/ 4.3 SP004 001300/ 4.3 SP005 000000以降にアップグレードしてください。

参考資料

https://launchpad.support.sap.com/#/notes/3565279

プラグインの詳細

深刻度: High

ID: 241998

ファイル名: sap_business_objects_bip_july_2025_3565279.nasl

バージョン: 1.1

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2025/7/11

更新日: 2025/7/11

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v3

リスクファクター: High

基本値: 8

ベクトル: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

脆弱性情報

CPE: cpe:/a:sap:businessobjects_business_intelligence_platform

必要な KB アイテム: SMB/Registry/Enumerated, installed_sw/SAP BusinessObjects Business Intelligence Platform

パッチ公開日: 2024/7/8

脆弱性公開日: 2025/7/8

参照情報

CVE: CVE-2024-53677

IAVA: 2024-A-0821