Trapeze 服務殼層 - 可存取的管理服務

high Nessus Plugin ID 42210

語系:

新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Web 伺服器的管理主控台尚未受到保護。

描述

遠端 Web 伺服器是 Trapeze Service Shell,這是 Trapeze Software, Inc. 的多種產品隨附的應用程式伺服器元件,例如其用於提供公共客車和火車路線資訊的使用者資訊系統。

尚未安全地設定遠端 Trapeze 服務殼層,因為它允許未經認證的存取管理服務 (其提供的 Web 服務之一)。

遠端攻擊者可利用此問題,探索有關 Trapeze 遠端安裝的敏感資訊,或載入/卸載受影響系統上可用的 Trapeze 外掛程式

請注意,受影響的應用程式可能還有其他未受保護的服務;可洩漏應用程式資料庫或主機檔案的服務,但 Nessus 尚未針對這些服務進行檢查。

解決方案

針對 Trapeze 服務殼層套用適當的安全性設定,如產品的設定指南中所述。

Plugin 詳細資訊

嚴重性: High

ID: 42210

檔案名稱: trapeze_admin_accessible.nasl

版本: 1.8

類型: remote

系列: CGI abuses

已發布: 2009/10/22

已更新: 2021/1/19

相依性: http_version.nasl

風險資訊

CVSS v2

風險因素: High

基本分數: 7.5

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

排除在外的 KB 項目: Settings/disable_cgi_scanning

由 Nessus 利用: true