HCL BigFix Server 10.0.x < 10.0.13 / 11.0.x < 11.0.4 複数の脆弱性KB0120585
medium Nessus プラグイン ID 242295
Language:
概要
リモートホストに 1 つ以上のセキュリティ更新がありません。説明
リモートホストにインストールされている HCL BigFix Server のバージョンは 10.0.x 、より前の 10.0.13 、または 11.x より前の 11.0.4です。したがって、KB0120585 のアドバイザリに記載されている複数の脆弱性の影響を受けます。- HCL BigFix Web Reports のサービスは HTTPS で通信しますが、SSL 証明書検証の処理に弱点があります。この脆弱性が悪用された場合、不正なアクセスが発生する可能性があるため、このシナリオではMITM攻撃が介され、データが漏えいする可能性があります。CVE-2024-42193
- HCL BigFix Web レポートは、API パラメーターの検証が弱い可能性があるため、サービス拒否DoS攻撃の対象になる可能性があります。CVE-2024-42189
- HCL BigFix Webレポートは、ユーザー入力の検証が弱い可能性があるため、格納型クロスサイトスクリプティングXSS攻撃の対象になる可能性があります。CVE-2024-42200
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
KB0120585 で指定されているガイダンスに基づいて、HCL BigFix Server をアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 242295
ファイル名: hcl_bigfix_server_KB0120585.nasl
バージョン: 1.1
タイプ: local
エージェント: windows
ファミリー: Misc.
公開日: 2025/7/18
更新日: 2025/7/18
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.2
CVSS v2
リスクファクター: Medium
基本値: 5.1
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2024-42189
CVSS v3
リスクファクター: Medium
基本値: 5.6
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
脆弱性情報
CPE: cpe:/a:ibm:tivoli_endpoint_manager, cpe:/a:ibm:bigfix_platform, cpe:/a:ibm:endpoint_manager, cpe:/a:hcltech:bigfix_platform
必要な KB アイテム: installed_sw/HCL BigFix Server, SMB/Registry/Enumerated
パッチ公開日: 2025/4/15
脆弱性公開日: 2025/4/15
参照情報
CVE: CVE-2024-42189, CVE-2024-42193, CVE-2024-42200
IAVA: 2025-A-0528