Microsoft Power BI 報表伺服器的安全性更新 (2020 年 5 月)

medium Nessus Plugin ID 136664

概要

遠端主機上安裝的應用程式缺少一個安全性更新。

說明

Microsoft Power BI 報表伺服器驗證上傳附件的 content-type 的方式中存在偽造弱點。經驗證的攻擊者可上傳特別構建的負載並將其傳送至使用者,進而利用此弱點。

成功利用此弱點的攻擊者接著可在使用者的安全性內容中執行動作和指令碼。

此安全性更新通過確保 Power BI 報表服務器在上傳和打開附件時能正確驗證內容類型的方式解決此弱點。

解決方案

升級至 Power BI 報表伺服器 1.6.7236.4246 版或更新版本。

另請參閱

http://www.nessus.org/u?dde4bbb9

Plugin 詳細資訊

嚴重性: Medium

ID: 136664

檔案名稱: microsoft_power_bi_rs_may_20.nasl

版本: 1.4

類型: local

代理程式: windows

系列: Windows

已發布: 2020/5/15

已更新: 2021/6/3

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Low

基本分數: 3.5

時間分數: 2.6

媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2020-1173

CVSS v3

風險因素: Medium

基本分數: 6.8

時間分數: 5.9

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:microsoft:power_bi_report_server

必要的 KB 項目: installed_sw/Microsoft Power BI Report Server

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2019/9/30

弱點發布日期: 2020/5/12

參考資訊

CVE: CVE-2020-1173

IAVB: 2020-B-0027-S