ManageEngine ServiceDesk Plus MSP < 13.0 Build 13000 RCE

high Nessus Plugin ID 168355

Synopsis

遠端 Web 伺服器主控一個受到遠端程式碼執行弱點影響的應用程式。

描述

ManageEngine ServiceDesk Plus MSP 13.0 Build 13000 之前版本中存在遠端程式碼執行弱點,這是因為 Analytics Plus 整合輸入欄位驗證中存在缺陷。攻擊者必須要有管理員角色的存取權限才能利用此弱點。Build 13000 版本的 ServiceDesk Plus MSP UI 中不再提供整合 Zoho Analytics 的選項。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 ManageEngine ServiceDesk Plus MSP 13.0 Build 13000 版或更新版本。

另請參閱

http://www.nessus.org/u?888eb2db

http://www.nessus.org/u?68c25399

Plugin 詳細資訊

嚴重性: High

ID: 168355

檔案名稱: manageengine_servicedesk_msp_13000.nasl

版本: 1.2

類型: remote

系列: CGI abuses

已發布: 2022/12/2

已更新: 2022/12/5

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 8.3

時間分數: 6.1

媒介: AV:N/AC:L/Au:M/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2022-40770

CVSS v3

風險因素: High

基本分數: 7.2

時間分數: 6.3

媒介: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:zohocorp:manageengine_servicedesk_plus_msp

必要的 KB 項目: installed_sw/manageengine_servicedesk

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/10/13

弱點發布日期: 2022/11/22

參考資訊

CVE: CVE-2022-40770

IAVA: 2022-A-0497