自己報告されたバージョン番号によると、リモートホストで実行されている Kibana アプリケーションは 6.8.2 より前、または 7.2.1 より前の 7.x です。したがって、以下の影響を受けます。

 - lodash におけるプロトタイプ汚染の脆弱性。(CVE-2019-10744)

 -Timelionビジュアライザーのgraphite統合におけるサーバーサイドリクエストフォージェリ (SSRF) の脆弱性。  (CVE-2019-7616)

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

自己報告されたバージョン番号によると、Lodash は 4.17.12 より前です。したがって、関数 defaultsDeep のプロトタイプ汚染の脆弱性による影響を受けます。この関数は騙されて、コンストラクターペイロードを使用して Object.prototype のプロパティを追加したり変更したりする可能性があります。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのRedhat Enterprise Linux 7 / 8ホストにインストールされているパッケージは、RHSA-2020: 2362アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - nodejs-lodash：プロパティの変更を引き起こすdefaultsDeep関数のプロトタイプ汚染（CVE-2019-10744）

  - jquery：injQuery.htmlPrefilterメソッドが不適切なことによるクロスサイトスクリプティング（CVE-2020-11022）

  - grafana：全ユーザーに読み取り権限があるgrafana構成ファイルによる情報開示（CVE-2020-12459）

  - nodejs-minimist：プロトタイプ汚染を使用すると、コンストラクターや__proto__ペイロードを使用してObject.prototypeのプロパティを追加したり変更したりすることが可能です（CVE-2020-7598）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされている F5 Networks BIG-IP のバージョンは、12.1.5.2 / 13.1.3.4 / 13.1.3.5 / 14.1.2.5 / 14.1.2.7 / 15.0.1.4 / 15.1.0.5 / 15.1.1 / 16.0.0 です。したがって、K47105354 のアドバイザリに記載されている脆弱性の影響を受けます。

  - 4.17.12 より前のバージョンの lodash は、プロトタイプ汚染に対して脆弱です。関数 defaultsDeep は騙されて、コンストラクターペイロードを使用して Object.prototype のプロパティを追加したり変更したりする可能性があります。
    (CVE-2019-10744)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ovirt-web-uiの更新プログラムが、Red Hat Virtualization Engine 4.3で利用可能になりました。

Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中と評価しています。詳細な重大度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。

ovirt-web-uiパッケージは、Red Hat VirtualizationのWebインターフェイスを提供します。

セキュリティ修正プログラム：

* nodejs-lodash：プロパティの変更を引き起こすdefaultsDeep関数のプロトタイプ汚染（CVE-2019-10744）

* ブートストラップ：ツールチップまたはポップオーバーデータテンプレート属性のXSS（CVE-2019-8331）

- js-jquery：サービス拒否、リモートコード実行、またはプロパティインジェクションにつながる、オブジェクトのプロトタイプのプロトタイプ汚染（CVE-2019-11358）

影響、CVSSスコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

バグ修正プログラム：

* ovirt-web-uiコンポーネントでGitHubによって検出される既知の重大度中のセキュリティ脆弱性（BZ#1694032）

ID	名前	製品	ファミリー	公開日	更新日	深刻度
98979	Kibana < 6.8.2 の複数の脆弱性	Web App Scanning	Component Vulnerability	2020/3/5	2023/3/14	critical
113008	Lodash < 4.17.12 のプロトタイプ汚染	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	critical
98980	Kibana 7.x < 7.2.1 の複数の脆弱性	Web App Scanning	Component Vulnerability	2020/3/5	2023/3/14	critical
137064	RHEL 7/8：Red Hat OpenShift Service Mesh（RHSA-2020：2362)	Nessus	Red Hat Local Security Checks	2020/6/3	2024/6/3	critical
135940	F5 Networks BIG-IP：Lodash ライブラリの脆弱性 (K47105354)	Nessus	F5 Networks Local Security Checks	2020/4/24	2024/3/14	critical
129862	RHEL 7：Virtualization Manager（RHSA-2019：3024）	Nessus	Red Hat Local Security Checks	2019/10/15	2024/4/18	critical
194919	Splunk Enterprise < 8.1.14、8.2.0 < 8.2.11、9.0.0 < 9.0.5 (SVD-2023-0613)	Nessus	CGI abuses	2024/5/2	2024/5/30	critical

検出

プラグインの検索

critical

critical

critical

critical

critical

critical

critical