McAfee Email Gatewayの複数の脆弱性(SB10064)
high Nessus プラグイン ID 73225
Language:
概要
リモートホストは、複数の SQL インジェクションおよびコマンド実行の脆弱性の影響を受けます。説明
リモートホストで実行中の McAfee Email Gateway(MEG)のバージョンは、次の複数の SQL インジェクションおよびコマンド実行の脆弱性の影響を受けます:- 管理 Web インターフェイスに、複数の SQL インジェクションの脆弱性が存在します。認証されたリモートの攻撃者は、これらの脆弱性を悪用して、任意のSQLコマンドを実行する可能性があります。(CVE-2013-7092)
- 「TestFile」XML 要素へのユーザーの入力をサニタイズすることに失敗しているため、管理 Web インターフェイスに、コマンド実行の脆弱性が存在します。認証されたリモートの攻撃者が、この脆弱性を悪用し、任意のシェルコマンドを実行する可能性があります。
(CVE-2013-7103)
- 「Command」および「Script」XML 属性へのユーザーの入力をサニタイズすることに失敗しているため、管理 Web インターフェイスに、コマンド実行の脆弱性が存在します。認証されたリモートの攻撃者が、この脆弱性を悪用し、任意のシェルコマンドを実行する可能性があります。(CVE-2013-7104)
ソリューション
ベンダーアドバイザリで参照されている、関連するホットフィックスを適用してください。参考資料
https://kc.mcafee.com/corporate/index?page=content&id=SB10064
プラグインの詳細
深刻度: High
ID: 73225
ファイル名: mcafee_email_gateway_SB10064.nasl
バージョン: 1.8
タイプ: local
ファミリー: CGI abuses
公開日: 2014/3/27
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 9
現状値: 6.7
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
脆弱性情報
CPE: cpe:/a:mcafee:email_gateway
必要な KB アイテム: Host/McAfeeSMG/name, Host/McAfeeSMG/version, Host/McAfeeSMG/patches
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/2/19
脆弱性公開日: 2013/12/3
参照情報
CVE: CVE-2013-7092, CVE-2013-7103, CVE-2013-7104
BID: 64150
MCAFEE-SB: SB10064