Trend Micro Control Manager cgiShowClientAdmのセキュリティバイパス
high Nessus プラグイン ID 99730
Language:
概要
リモートホストで実行されているCGIアプリケーションは、セキュリティバイパスの脆弱性の影響を受けます。説明
フィルタリングに関連するDLPテンプレートを公開、変更、削除する機能に対して認証を与えられないため、Web関数であるcgiShowClientAdm()の呼び出しを処理するとき、リモートホストで実行されているTrend Micro Control Managerのバージョンがセキュリティをバイパスする脆弱性の影響を受けます。認証されていないリモートの攻撃者がこの問題を悪用し、下層の製品のセキュリティ状態を変更する可能性があります。このプラグインによりDLPテンプレートのダウンロードが試行されることにご注意ください。また、Trend Micro Control Managerは他の脆弱性の影響を受けることが報告されています。しかしながら、Nessusでは、それに関してテストを行っていません。
ソリューション
Trend Micro Control Managerバージョン6、ビルド3506にアップグレードしてください。バージョン6.0ビルド3506には、前提条件としてバージョン6.0 SP3パッチ2が必要となります。
参考資料
プラグインの詳細
深刻度: High
ID: 99730
ファイル名: trendmicro_control_manager_zdi-17-244.nasl
バージョン: 1.5
タイプ: remote
ファミリー: CGI abuses
公開日: 2017/4/28
更新日: 2018/11/15
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: High
基本値: 7.3
現状値: 6.4
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:trend_micro:control_manager
必要な KB アイテム: installed_sw/Trend Micro Control Manager
Nessus によりエクスプロイト済み: true
パッチ公開日: 2017/3/21
脆弱性公開日: 2017/4/5
参照情報
BID: 97541
ZDI: ZDI-17-244