検出

HP WebInspect XXE 承認されていない情報漏洩

medium Nessus プラグイン ID 84194

Language:

概要

リモートホストの Web セキュリティアプリケーションは、承認されていない情報漏洩の脆弱性による影響を受けます。

説明

リモートの Windows ホストにインストールされている HP WebInspect のバージョンが、XML データの解析中に発生する XML 外部エンティティインジェクションの欠陥ために、承認されていない情報漏洩の脆弱性による影響を受けます。リモートの攻撃者がこれを悪用して、HP WebInspect に悪意のある Web サイトをスキャンさせることで、任意のシステムファイルを読み取る可能性があります。

ソリューション

HP WebInspect バージョン 10.40.282.10(10.4 ソフトウェア更新 1)またはそれ以降にアップグレードしてください。

注意:HP ではまだこの更新を SmartUpdate を介して一般に利用可能にしていないため、この修正のためには直接 HP サポートに連絡してください。

参考資料

http://www.nessus.org/u?94288510

https://www.exploit-db.com/exploits/37250/

https://www.securityfocus.com/archive/1/535683

プラグインの詳細

深刻度: Medium

ID: 84194

ファイル名: hp_webinspect_SSRT102038.nasl

バージョン: 1.8

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2015/6/15

更新日: 2019/11/22

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.2

CVSS v2

リスクファクター: Medium

基本値: 4

現状値: 3.1

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N

CVSS スコアのソース: CVE-2015-2125

脆弱性情報

CPE: cpe:/a:hp:web_inspect

必要な KB アイテム: installed_sw/HP WebInspect

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2015/6/3

脆弱性公開日: 2015/6/3

参照情報

CVE: CVE-2015-2125

BID: 75036

HP: HPSBGN03343, SSRT102038, emr_na-c04695307