Synology DiskStation Manager の uistrings.cgi の lang パラメーターによるディレクトリトラバーサル
medium Nessus プラグイン ID 72347
Language:
概要
リモート Synology DiskStation Manager は、ディレクトリトラバーサルの脆弱性の影響を受けます。説明
リモートホストにインストールされている Synology DiskStation Manager は、ディレクトリトラバーサルの脆弱性の影響を受けます。大きなパディングのあるファイルパスを「uistrings.cgi」スクリプトの「lang」パラメーターに送信することで、こうした攻撃を防止するために使用される snprintf 関数内で、オーバーフローが発生します。認証されていないリモートの攻撃者が、この脆弱性を利用して、ファイルの中の等号符号のある行、特にキー/値のペアを表示する可能性があります。注意:影響を受ける uistrings.cgi スクリプトは、「/scripts/」および「/webfm/webUI/」の Web ディレクトリにあります。
ソリューション
4.3-3776 Update 2 にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 72347
ファイル名: synology_dsm_uistrings_lang_param_directory_traversal.nasl
バージョン: 1.9
タイプ: remote
ファミリー: CGI abuses
公開日: 2014/2/5
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
CVSS スコアの根本的理由: Directory traversal
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 4.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS スコアのソース: manual
脆弱性情報
CPE: cpe:/a:synology:diskstation_manager
必要な KB アイテム: www/synology_dsm
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
Nessus によりエクスプロイト済み: true
パッチ公開日: 2013/9/26
脆弱性公開日: 2013/9/10
参照情報
BID: 62310