Dell KACE K1000 < 5.5 の複数の SQL インジェクションの脆弱性
medium Nessus プラグイン ID 72392
Language:
概要
システム管理アプライアンスの Web インターフェイスが、複数の SQL インジェクションの脆弱性に影響を受けています。説明
リモートホスト上の Dell KACE K1000 アプライアンスのバージョンの Web インターフェイスが、複数の SQL インジェクションの脆弱性の影響を受けています。以下のパラメーターおよびスクリプトが影響を受けます:- 「adminui/history_log.php」の「TYPE_ID」パラメーター
- 「adminui/service.php」、「adminui/software.php」、「adminui/settings_network_scan.php」、「adminui/asset.php」、「adminui/asset_type.php」、「adminui/metering.php」、「adminui/mi.php」、「adminui/replshare.php」、「adminui/kbot.php」、「/userui/advisory_detail.php」、および「/userui/ticket.php」の ID パラメーター。
- 「/service/kbot_service.php」の「macAddress」および「getKBot」パラメーター
- 「/userui/ticket_list.php」の「ORDER[]」パラメーター
注意:Nessus はこれらの問題に対してテストされておらず、代わりにアプリケーションの自己報告されたバージョン番号のみに依存しています。
ソリューション
KACE をバージョン 5.5 または以降にアップグレードしてください参考資料
https://www.vulnerability-lab.com/get_content.php?id=832
http://www.nessus.org/u?e29997ea
http://www.kace.com/support/resources/kb/solutiondetail?sol=SOL119257
プラグインの詳細
深刻度: Medium
ID: 72392
ファイル名: dell_kace_k1000_5_5_mult_sqli.nasl
バージョン: 1.5
タイプ: remote
ファミリー: CGI abuses
公開日: 2014/2/7
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.5
現状値: 6.2
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
CVSS スコアのソース: CVE-2014-1671
脆弱性情報
CPE: cpe:/h:dell:kace_k1000_systems_management_appliance
必要な KB アイテム: www/dell_kace_k1000
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2013/8/10
脆弱性公開日: 2013/7/22
参照情報
CVE: CVE-2014-1671