OSSIM < 4.3.3.1 tele_stats.php の SQL インジェクション
high Nessus プラグイン ID 76216
Language:
概要
リモート Web サーバーでホストされているアプリケーションに、SQL インジェクションの脆弱性があります。説明
リモートホストでホストされている OSSIM インストールに、SQL インジェクションの脆弱性があります。「/ossim/ocsreports/tele_stats.php」スクリプトの「stat」パラメーターへの入力が、適切にサニタイズされていません。リモートの攻撃者がこれを悪用して、任意の SQL コマンドを MySQL「root」ユーザーとして実行する可能性があります。
ソリューション
OSSIM 4.3.3.1 またはそれ以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 76216
ファイル名: ossim_web_4_3_3_1.nasl
バージョン: 1.8
タイプ: remote
ファミリー: CGI abuses
公開日: 2014/6/25
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: cpe:/a:alienvault:open_source_security_information_management
必要な KB アイテム: www/PHP, www/ossim
エクスプロイトの容易さ: No known exploits are available
Nessus によりエクスプロイト済み: true
パッチ公開日: 2013/10/11
脆弱性公開日: 2014/2/3
参照情報
BID: 65406