Trend Micro Control Manager AdHocQuery_Processor.aspx id パラメーター SQL インジェクション
high Nessus プラグイン ID 62628
Language:
概要
リモート Windows ホストに、SQL インジェクションの脆弱性の影響を受ける Web アプリケーションがあります。説明
集中脅威管理アプリケーションおよびデータ保護管理アプリケーションである Trend Micro Control Manager が、リモート Windows ホストにインストールされています。このアプリケーションは、AdHocQuery_Processor.aspx スクリプトの「id」パラメーターに対するユーザー指定の入力の適切なサニタイズに失敗するため SQL インジェクションの脆弱性に影響を受ける可能性があります。認証されたリモートの攻撃者がこの欠陥を悪用して、影響を受けるアプリケーションに対して SQL インジェクション攻撃を仕掛けることで、機密情報の発見、内在するデータベースに対する攻撃などを引き起こす可能性があります。
ソリューション
重要なパッチ - ビルド 1823 が Trend Micro Control Manager 5.5 で利用可能です。Critical Patch - Build 1449 is available for Trend Micro Control Manager 6.0. 旧バージョンを使用している場合は、5.5 または 6.0 のいずれかにアップグレードするか、関連パッチを適用してください。参考資料
プラグインの詳細
深刻度: High
ID: 62628
ファイル名: trendmicro_control_manager_id_sqli.nasl
バージョン: 1.6
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2012/10/18
更新日: 2019/12/4
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2012-2998
脆弱性情報
CPE: cpe:/a:trend_micro:control_manager
必要な KB アイテム: SMB/Registry/Enumerated
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2012/9/24
脆弱性公開日: 2012/9/24
参照情報
CVE: CVE-2012-2998
BID: 55706
CERT: 950795