ManageEngine AssetExplorer 複数の脆弱性
medium Nessus プラグイン ID 86885
Language:
概要
リモートのWebサーバーは複数の脆弱性の影響を受けます。説明
リモート Web サーバーで実行している ManageEngine AssetExplorer のバージョンは複数の脆弱性の影響を受けます:- 認証を要求せずに URLの /workorder/FileDownload.jsp へのアクセスを可能にする web.xml における構成ミスが原因で、セキュリティバイパスの脆弱性が存在します。
-「fName」パラメーターへの入力のサニタイズが不適切なため、URL の /workorder/FileDownload.jsp を処理するサーブレットにパストラバーサルの脆弱性が存在します。
その結果、認証されていないリモートの攻撃者が細工されたディレクトリトラバーサルシーケンスを使用することでこれらの問題を悪用し、操作する権限に応じて Web サーバー経由で任意のファイルを取得する可能性があります。
ソリューション
ManageEngine AssetExplorer バージョン 6.1 ビルド 6113 またはそれ以降にアップグレードしてください。参考資料
https://www.manageengine.com/products/asset-explorer/sp-readme.html
プラグインの詳細
深刻度: Medium
ID: 86885
ファイル名: manageengine_assetexplorer_fName_traversal.nasl
バージョン: 1.6
タイプ: remote
ファミリー: CGI abuses
公開日: 2015/11/16
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: cpe:/a:zoho:manageengine_assetexplorer
必要な KB アイテム: installed_sw/ManageEngine AssetExplorer
除外される KB アイテム: Settings/disable_cgi_scanning
Nessus によりエクスプロイト済み: true
パッチ公開日: 2015/9/23
脆弱性公開日: 2015/9/23