偵測

SAP BusinessObjects Business Intelligence 平台多個弱點 (3433545)

medium Nessus Plugin ID 207852

語言:

概要

遠端主機缺少一個或多個安全性更新。

說明

遠端 Windows 主機上安裝的 SAP BusinessObjects Business Intelligence Platform 版本低於 4.2 SP009 001900、4.3 SP003 001200、4.3 SP004 000600 或 4.3 SP005 000000。因此會受到 3433545 公告中所提及的多個弱點影響。

 - SAP BusinessObjects Business Intelligence Platform 允許經驗證的攻擊者透過網路上傳可由應用程式執行的惡意程式碼。攻擊者若成功利用此弱點,便會對應用程式的完整性造成較低影響。(CVE-2024-42375)

 - SAP BusinessObjects Business Intelligence Platform 允許未經驗證的攻擊者透過網路將惡意檔案上傳至 BI 檔案庫。攻擊者若要繞過前端檔案格式檢查,必須具備深入的系統知識。攻擊者若成功利用此弱點,便可修改會對應用程式完整性造成較低影響的某些資料。(CVE-2024-28166)

 - SAP BusinessObjects Business Intelligence Platform 允許經驗證的攻擊者透過網路將惡意檔案上傳至 BI 檔案庫。攻擊者若要繞過前端檔案格式檢查,必須具備深入的系統知識。攻擊者若成功利用此弱點,便可修改會對應用程式完整性造成較低影響的某些資料。(CVE-2024-41731)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 SAP BusinessObjects Business Intelligence Platform 版 4.2 SP009 001900 / 4.3 SP003 001200 / 4.3 SP004 000600 / 4.3 SP005 000000 或更新版本。

另請參閱

https://launchpad.support.sap.com/#/notes/3433545

https://launchpad.support.sap.com/#/notes/3515653

Plugin 詳細資訊

嚴重性: Medium

ID: 207852

檔案名稱: sap_business_objects_bip_aug_2024_3433545.nasl

版本: 1.3

類型: local

代理程式: windows

系列: Windows

已發布: 2024/9/27

已更新: 2024/12/12

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 1.4

CVSS v2

風險因素: Medium

基本分數: 4

時間性分數: 3

媒介: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2024-42375

CVSS v3

風險因素: Medium

基本分數: 4.3

時間性分數: 3.8

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:sap:businessobjects_business_intelligence_platform

必要的 KB 項目: SMB/Registry/Enumerated, installed_sw/SAP BusinessObjects Business Intelligence Platform

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/8/13

弱點發布日期: 2024/8/13

參考資訊

CVE: CVE-2024-28166, CVE-2024-41731, CVE-2024-42375

IAVA: 2024-A-0617