検出

op5 Monitor の永続セッションクッキー

medium Nessus プラグイン ID 57580

Language:

概要

リモートの Web サーバーは、セッションクッキーを不適切に処理する PHP アプリケーションをホストしています。

説明

リモートの Web サーバーに op5 Monitor があり、セッションクッキーを不適切に処理します。アプリケーションがクッキーに失効日を設定するため、ログインがセッション間で永続します。さらに、クッキーはログイン後再発行されません。

注意:この脆弱性により影響を受けるほとんどのバージョンは、情報漏洩の脆弱性である CVE-2012-0263 にも影響を受けます。

ソリューション

op5 モニターをバージョン 5.5.1 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?24b0cd28

http://www.nessus.org/u?fcd924ab

プラグインの詳細

深刻度: Medium

ID: 57580

ファイル名: op5_monitor_session_cookie.nasl

バージョン: 1.19

タイプ: remote

ファミリー: CGI abuses

公開日: 2012/1/17

更新日: 2021/1/19

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: cpe:/a:op5:monitor

必要な KB アイテム: www/op5_monitor

除外される KB アイテム: Settings/disable_cgi_scanning

エクスプロイトの容易さ: No exploit is required

Nessus によりエクスプロイト済み: true

パッチ公開日: 2011/12/29

脆弱性公開日: 2011/12/29

エクスプロイト可能

Elliot (OP5 Monitor 5.5 RCE)

参照情報

CVE: CVE-2012-0264

BID: 51212