検出

CGI汎用フォーマット文字列

high Nessus プラグイン ID 42055

Language:

概要

任意のコードがリモートサーバーで実行されることがあります。

説明

リモート Web サーバーは、リクエスト文字列を適切にサニタイズできない CGI スクリプトをホストしています。これらは「書式文字列」攻撃に対して脆弱な可能性があります。この問題を利用することで、攻撃者が、Webサーバーが動作する権限に従って、リモートホスト上で任意のコードを実行する可能性があります。

このスクリプトは誤検出を起こしやすいため、結果を調査してください。

ソリューション

脆弱なアプリケーション/スクリプトへのアクセスを制限してください。また、パッチまたはアップグレードについてベンダーにお問い合わせください。

参考資料

https://en.wikipedia.org/wiki/Format_string_attack

http://projects.webappsec.org/w/page/13246926/Format%20String

プラグインの詳細

深刻度: High

ID: 42055

ファイル名: torture_cgi_format_string.nasl

バージョン: 1.19

タイプ: remote

ファミリー: CGI abuses

公開日: 2009/10/7

更新日: 2021/1/19

設定: パラノイドモードの有効化

サポートされているセンサー: Nessus

リスク情報

CVSS v2

リスクファクター: High

基本値: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

必要な KB アイテム: Settings/ParanoidReport, Settings/enable_web_app_tests