リモートホストがManageEngine ServiceDesk Plusのバージョンがビルド9228より前の9.2.0を実行しています。したがって、以下の複数の脆弱性の影響を受けます。- ユーザーに戻す前の入力が不適切に検証されているため、クロスサイトスクリプティングの脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたリクエストを介して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。（CVE-2016-4888）- Cookieがセキュアでない方法で生成されているため、情報漏えいの脆弱性があります。認証されていないリモートの攻撃者がこれを利用し、ユーザーのCookieにアクセスしてパスワード情報を漏えいする可能性があります。（CVE-2016-4890）- 「問題」のメモを追加するときに詳細不明な欠陥があります。認証されていないリモートの攻撃者がこれを悪用し、詳細不明な影響を引き起こす可能性があります。- スキャンされたXMLファイルに関連する詳細不明な欠陥があります。認証されていないリモートの攻撃者がこれを悪用し、詳細不明な影響を引き起こす可能性があります。- 変更テンプレートを削除しようとするとき、詳細不明な欠陥があります。認証されていないリモートの攻撃者がこれを悪用し、詳細不明な影響を引き起こす可能性があります。- 変更ワークフローを更新または削除するとき、詳細不明な欠陥があります。認証されていないリモートの攻撃者がこれを悪用し、詳細不明な影響を引き起こす可能性があります。Nessusはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

ManageEngine ServiceDesk Plus 9.2.0 < ビルド9228の複数の脆弱性

medium Nessus プラグイン ID 94327

バージョン 1.10