Bugzilla < 2.18.1 多個資訊洩漏弱點
low Nessus Plugin ID 18245
語系:
概要
遠端 Web 伺服器中有一個 CGI 指令碼受到資訊洩漏弱點影響。說明
根據標題來判斷,遠端主機執行的 Bugzilla 版本據報可能在 Web 伺服器記錄中包含密碼,這是因為如果在檢視圖表時提示使用者登入,其會將使用者的密碼內嵌在報告 URL 中。這也可讓使用者了解 Bugzilla 中是否存在隱形產品,這是因為如果不存在,應用程式會使用一個錯誤訊息,如果存在,則會使用另一個錯誤訊息,而存取會遭到拒絕。最後,只要使用有效的產品名稱,即使錯誤項目已關閉,它仍允許使用者輸入錯誤。解決方案
升級至 Bugzilla 2.18.1 或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Low
ID: 18245
檔案名稱: bugzilla_auth_info_disclosure.nasl
版本: 1.23
類型: remote
系列: CGI abuses
已發布: 2005/5/12
已更新: 2022/4/11
組態: 啟用 Paranoid 模式, 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.5
CVSS v2
風險因素: Low
基本分數: 2.1
時間分數: 1.8
媒介: CVSS2#AV:N/AC:H/Au:S/C:P/I:N/A:N
弱點資訊
CPE: cpe:/a:mozilla:bugzilla
必要的 KB 項目: installed_sw/Bugzilla, Settings/ParanoidReport
排除在外的 KB 項目: Settings/disable_cgi_scanning
可被惡意程式利用: true
可輕鬆利用: No exploit is required
弱點發布日期: 2005/5/12