偵測

Dell Wyse Management Suite < 3.8 多個弱點(DSA-2022-134)

high Nessus Plugin ID 163271

語系:

概要

本機主機上安裝的 Dell Wyse Management Suite 受到多個弱點影響。

說明

遠端主機上安裝的 Dell Wyse Management Suite 版本低於 3.8。因此,它受到 DSA-2022-134 公告中所提及的多個弱點影響。

 - Wyse Management Suite 3.7 和更舊版本包含敏感資料洩漏弱點。低權限的惡意使用者可能利用此弱點取得憑證,攻擊者或可使用洩漏的憑證存取目標裝置並執行未經授權的動作。
 (CVE-2022-29090)

 - Wyse Management Suite 3.7 和更舊版本包含不當存取控制弱點,無權建立規則的攻擊者可能利用此弱點建立規則。攻擊者可能會建立執行規則的排程。(CVE-2022-33924)

 - Wyse Management Suite 3.7 和更舊版本的 UI 中存在不當存取控制弱點。經驗證的遠端攻擊者可能利用此弱點來略過存取控制,下載包含敏感資訊的報告。(CVE-2022-33925)

 - Wyse Management Suite 3.7 和更舊版本包含不當存取控制弱點。遠端惡意使用者可能會惡意利用此弱點,在存取權限被撤銷後繼續保留對檔案存放庫的存取權限。 (CVE-2022-33926)

 - Wyse Management Suite 3.7 和更舊版本包含工作階段固定弱點。未經驗證的攻擊者可透過具有多個作用中工作階段的使用者,利用此弱點來劫持使用者的工作階段。(CVE-2022-33927)

 - Wyse Management Suite 3.7 和更舊版本的 UI 中存在純文字密碼儲存弱點。低權限攻擊者可能會利用此弱點,造成特定的使用者憑證遭到洩漏,攻擊者或可利用洩漏的憑證,以遭入侵帳戶的權限存取有弱點的應用程式。(CVE-2022-33928)

 - Wyse Management Suite 3.7 和更舊版本的 EndUserSummary 頁面中存在反映式跨網站指令碼弱點。經驗證的攻擊者可能會利用此弱點,在有弱點的 Web 應用程式環境中,在受害使用者的 Web 瀏覽器中執行惡意 HTML 或 JavaScript 程式碼。若攻擊成功,可造成資訊洩漏、工作階段竊取或用戶端要求偽造。(CVE-2022-33929)

 - Wyse Management Suite 3.7 和更舊版本的裝置錯誤頁面存在資訊洩漏弱點。攻擊者可能會利用此弱點,造成特定的敏感資訊遭到洩漏,
 攻擊者或可利用洩漏的資訊取得存取權限並進一步研究弱點。
 (CVE-2022-33930)

 - Wyse Management Suite 3.7 和更舊版本的 UI 中存在不當存取控制弱點。無法存取警示分類頁面的攻擊者可能利用此弱點來變更警示類別。(CVE-2022-33931)

 - Wyse Management Suite 3.7 的裝置 API 中存在路徑遊走弱點。攻擊者可能利用此弱點,在未經授權的情況下,以執行中 Web 應用程式的權限存取伺服器檔案系統上儲存的檔案。(CVE-2022-34365)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Dell Wyse Management Suite 3.8 或更新版本。

另請參閱

http://www.nessus.org/u?7f6cc9f8

Plugin 詳細資訊

嚴重性: High

ID: 163271

檔案名稱: dell_wyse_management_suite_dsa-2022-134_3_8.nasl

版本: 1.5

類型: local

代理程式: windows

系列: Windows

已發布: 2022/7/19

已更新: 2022/12/8

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 9

時間分數: 6.7

媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2022-33928

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:dell:wyse_management_suite

必要的 KB 項目: installed_sw/Dell Wyse Management Suite

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/7/18

弱點發布日期: 2022/7/18

參考資訊

CVE: CVE-2022-29090, CVE-2022-33924, CVE-2022-33925, CVE-2022-33926, CVE-2022-33927, CVE-2022-33928, CVE-2022-33929, CVE-2022-33930, CVE-2022-33931, CVE-2022-34365