HP Linux Imaging and Printing 專案 (hplip) hpssd from Address 命令插入
high Nessus Plugin ID 27054
語系:
概要
遠端服務允許攻擊者執行任意命令。說明
遠端主機上的 HP Linux Imaging and Printing System hpssd 程序版本在呼叫 sendmail 時,未清理使用者提供的輸入便將其附加到命令行。未經驗證的遠端攻擊者可以使用特製的電子郵件地址,利用此問題在遠端主機上執行任意 Shell 命令,但這需要具有運作程序所需的權限 (一般是 Root 權限)。解決方案
升級至 HPLIP 2.7.10 或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 27054
檔案名稱: hpssd_from_address_cmd_exec.nasl
版本: 1.19
類型: remote
已發布: 2007/10/15
已更新: 2018/7/12
支援的感應器: Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
CVSS v2
風險因素: High
基本分數: 7.6
時間分數: 6.3
媒介: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C
弱點資訊
CPE: cpe:/a:hp:linux_imaging_and_printing_project
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2007/10/5
可惡意利用
CANVAS (D2ExploitPack)
Core Impact
Metasploit (HPLIP hpssd.py From Address Arbitrary Command Execution)
參考資訊
CVE: CVE-2007-5208
BID: 26054
CWE: 20