Bugzilla < 4.0.15 / 4.2.11 / 4.4.6 / 4.5.6 の複数の脆弱性
medium Nessus プラグイン ID 78069
Language:
概要
リモート Web サーバーに、複数の脆弱性の影響を受ける Web アプリケーションがあります。説明
バナーによると、リモートホストにインストールされているバージョンの Bugzilla には、複数の欠陥があります。したがって、次の脆弱性の影響を受けます:- 新しいコメントが、インサイダーグループにプライベートとマーク付けされており、同一のトランザクションでフラグが設定されている場合、フラグ受信者がインサイダーグループに入っていなくてもコメントが見えるようになります。(CVE-2014-1571)
- リモートの攻撃者が、新しい Bugzilla アカウントを作成する際に特定のパラメーターをオーバーライドする可能性があります。これにより、アカウントが本来リクエストされたメールアドレスと異なるアドレスにより作成され、ユーザーがグループの正規表現設定に基づいて、特定のグループに追加される可能性があります。これにより、攻撃者が特定のユーザーアカウントの権限を昇格させる可能性があります。
(CVE-2014-1572)
- CGI 引数の処理方法に欠陥が存在し、攻撃者がそれを悪用してクロスサイトスクリプティングを行い、機密情報にアクセスする可能性があります。
(CVE-2014-1573)
Nessus はこれらの問題に対してテストされていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。
ソリューション
Bugzilla 4.0.15 / 4.2.11 / 4.4.6 / 4.5.6 またはそれ以降にアップグレードしてください。参考資料
https://blog.checkpoint.com/2014/10/06/bug-in-the-bug-tracker/
https://www.bugzilla.org/security/4.0.14/
https://www.securityfocus.com/archive/1/533628/30/0/threaded
プラグインの詳細
深刻度: Medium
ID: 78069
ファイル名: bugzilla_4_4_6.nasl
バージョン: 1.10
タイプ: remote
ファミリー: CGI abuses
公開日: 2014/10/6
更新日: 2022/4/11
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.4
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS スコアのソース: CVE-2014-1572
脆弱性情報
CPE: cpe:/a:mozilla:bugzilla
必要な KB アイテム: installed_sw/Bugzilla, Settings/ParanoidReport
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/10/6
脆弱性公開日: 2014/10/6